CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:949

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

5 de dezembro de 2023 (*)

«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 4.o, pontos 2 e 7 — Conceitos de “tratamento” e “responsável pelo tratamento” — Desenvolvimento de uma aplicação informática móvel — Artigo 26.o — Responsabilidade conjunta do tratamento — Artigo 83.o — Aplicação de coimas — Condições — Exigência do caráter intencional ou negligente da violação — Responsabilidade do responsável pelo tratamento pelo tratamento de dados pessoais efetuado por um subcontratante»

No processo C‑683/21,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Vilniaus apygardos administracinis teismas (Tribunal Administrativo Regional de Vílnius, Lituânia), por Decisão de 22 de outubro de 2021, que deu entrada no Tribunal de Justiça em 12 de novembro de 2021, no processo

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

contra

Valstybinė duomenų apsaugos inspekcija,

sendo intervenientes:

UAB «IT sprendimai sėkmei»,

Lietuvos Respublikos sveikatos apsaugos ministerija,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, L. Bay Larsen, vice‑presidente, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi e O. Spineanu‑Matei, presidentes de secção, M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (relator), N. Wahl e M. Gavalec, juízes,

advogado‑geral: N. Emiliou,

secretário: C. Strömholm, administradora,

vistos os autos e após a audiência de 17 de janeiro de 2023,

vistas as observações apresentadas:

– em representação do Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, por G. Aleksienė,

– em representação da Valstybinė duomenų apsaugos inspekcija, por R. Andrijauskas,

– em representação do Governo Lituano, por V. Kazlauskaitė‑Švenčionienė, na qualidade de agente,

– em representação do Governo Neerlandês, por C. S. Schillemans, na qualidade de agente,

– em representação do Conselho da União Europeia, por R. Liudvinavičiūtė e K. Pleśniak, na qualidade de agentes,

– em representação da Comissão Europeia, por A. Bouchagiar, H. Kranenborg e A. Steiblytė, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 4 de maio de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 4.^o, pontos 2 e 7, 26.^o, n.^o 1, e 83.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe o Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Saúde Pública do Ministério da Saúde, Lituânia, a seguir «CNSP») à Valstybinė duomenų apsaugos inspekcija (Inspeção Nacional da Proteção de Dados, Lituânia, a seguir «INPD») relativamente a uma decisão através da qual esta última aplicou ao CNSP uma coima ao abrigo do artigo 83.^o do RGPD a título da violação dos artigos 5.^o, 13.^o, 24.^o, 32.^o e 35.^o desse regulamento.

Quadro jurídico

Direito da União

3 Os considerandos 9, 10, 11, 13, 26, 74, 79, 129 e 148 do RGPD enunciam:

«(9) […] As diferenças no nível de proteção dos direitos e [liberdades] das pessoas singulares, nomeadamente do direito à proteção dos dados pessoais no contexto do tratamento desses dados nos Estados‑Membros, podem impedir a livre circulação de dados pessoais na União [Europeia]. Essas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da União, distorcer a concorrência e impedir as autoridades de cumprirem as obrigações que lhes incumbem por força do direito da União. […]

(10) A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. […]

(11) A proteção eficaz dos dados pessoais na União exige o reforço e a especificação dos direitos dos titulares dos dados e as obrigações dos responsáveis pelo tratamento e pela definição do tratamento dos dados pessoais, bem como poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e sanções equivalentes para as infrações nos Estados‑Membros.

[…]

(13) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados‑Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados‑Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados‑Membros. […]

[…]

(26) Os princípios da proteção de dados deverão aplicar‑se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. […] Os princípios da proteção de dados não deverão, pois, aplicar‑se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.

[…]

(74) Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.

[…]

(79) A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsáveis pelo seu tratamento e dos subcontratantes, […] exigem uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento.

[…]

(129) A fim de assegurar o controlo e a aplicação coerentes do presente regulamento em toda a União, as autoridades de controlo deverão ter, em cada Estado‑Membro, as mesmas funções e poderes efetivos, incluindo poderes de investigação, poderes de correção e de sanção […] Os poderes das autoridades de controlo deverão ser exercidos em conformidade com as garantias processuais adequadas previstas no direito da União e do Estado‑Membro, com imparcialidade, com equidade e num prazo razoável. Em particular, cada medida deverá ser adequada, necessária e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstâncias de cada caso concreto, respeitar o direito de todas as pessoas a serem ouvidas antes de ser tomada qualquer medida individual que as prejudique, e evitar custos supérfluos e inconvenientes excessivos para as pessoas em causa. Os poderes de investigação em matéria de acesso às instalações deverão ser exercidos em conformidade com os requisitos específicos do direito processual do Estado‑Membro, como, por exemplo, a obrigação de obter autorização judicial prévia. As medidas juridicamente vinculativas da autoridade de controlo deverão ser emitidas por escrito, claras e inequívocas, indicar a autoridade de controlo que as emitiu e a data de emissão, ostentar a assinatura do diretor ou do membro da autoridade de controlo por eles autorizada, indicar os motivos que as justifica e mencionar o direito de recurso efetivo. Tal não deverá impedir que sejam estabelecidos requisitos suplementares nos termos do direito processual do Estado‑Membro. A adoção de uma decisão juridicamente vinculativa pode dar origem a controlo jurisdicional nos Estados‑Membros da autoridade de controlo que tenha adotado a decisão.

[…]

(148) A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima. Importa, porém, ter em devida conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou subcontratante, o cumprimento de um código de conduta ou quaisquer outros fatores agravantes ou atenuantes. A imposição de sanções, incluindo coimas, deverá estar sujeita às garantias processuais adequadas em conformidade com os princípios gerais do direito da União e a Carta [dos Direitos Fundamentais da União Europeia], incluindo a proteção jurídica eficaz e um processo equitativo.»

4 Nos termos do artigo 4.^o deste regulamento:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

5) “Pseudonimização”, o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

8) “Subcontratante”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

[…]»

5 O artigo 26.^o do referido regulamento, sob a epígrafe «Responsáveis conjuntos pelo tratamento», enuncia, no seu n.^o 1:

«Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.^o e 14.^o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado‑Membro a que […] estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.»

6 O artigo 28.^o do mesmo regulamento, sob a epígrafe «Subcontratante», prevê no seu n.^o 10:

«Sem prejuízo do disposto nos artigos 82.^o, 83.^o e 84.^o, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.»

7 O artigo 58.^o do RGPD, sob a epígrafe «Poderes», dispõe, no seu n.^o 2:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a) Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b) Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

[…]

d) Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

[…]

f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

[…]

i) Impor uma coima nos termos do artigo 83.^o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

[…]»

8 O artigo 83.^o deste regulamento, sob a epígrafe «Condições gerais para a aplicação de coimas», tem a seguinte redação:

«1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.^os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.^o, n.^o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a) A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b) O caráter intencional ou negligente da infração;

c) A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares;

d) O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.^o e 32.^o;

e) Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante;

f) O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos;

g) As categorias específicas de dados pessoais afetadas pela infração;

h) A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;

i) O cumprimento das medidas a que se refere o artigo 58.^o, n.^o 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria;

j) O cumprimento de códigos de conduta aprovados nos termos do artigo 40.^o ou de procedimento de certificação aprovados nos termos do artigo 42.^o; e

k) Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.^o 2, a coimas até 10 000 000 [euros] ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.^o, 11.^o, 25.^o a 39.^o e 42.^o e 43.^o;

[…]

5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.^o 2, a coimas até 20 000 000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a) Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.^o, 6.^o, 7.^o e 9.^o;

b) Os direitos dos titulares dos dados nos termos dos artigos 12.^o a 22.^o;

[…]

d) As obrigações nos termos do direito do Estado‑Membro adotado ao abrigo do capítulo IX;

[…]

6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.^o, n.^o 2, está sujeito, em conformidade com o n.^o 2 do presente artigo, a coimas até 20 000 000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.^o, n.^o 2, os Estados‑Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.

8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados‑Membros, incluindo o direito à ação judicial e a um processo equitativo.

[…]»

9 O artigo 84.^o, do referido regulamento, sob a epígrafe «Sanções», dispõe, no seu n.^o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo […]83.^o, e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

Direito lituano

10 O artigo 29.^o, n.^o 3, do Viešųjų pirkimų įstatymas (Lei dos Contratos Públicos) menciona certas circunstâncias nas quais a entidade adjudicante tem quer o direito, quer a obrigação de pôr termo aos procedimentos de adjudicação de contratos públicos ou de concurso para trabalhos de conceção, em qualquer momento anterior à adjudicação de um contrato (ou celebração de um acordo‑quadro) ou à determinação do candidato selecionado.

11 O artigo 72.^o, n.^o 2, da Lei dos Contratos Públicos prevê as fases das negociações que a entidade adjudicante conduz no âmbito de um procedimento por negociação sem publicação prévia de anúncio.

Litígio no processo principal e questões prejudiciais

12 No contexto da pandemia provocada pelo vírus da COVID‑19, o Lietuvos Respublikos sveikatos apsaugos ministras (ministro da Saúde da República da Lituânia), através de uma primeira decisão de 24 de março de 2020, encarregou o diretor do CNSP de coordenar a aquisição imediata de um sistema informático para registo e acompanhamento dos dados das pessoas expostas a este vírus, para efeitos de acompanhamento epidemiológico.

13 Por correio eletrónico de 27 de março de 2020, uma pessoa que afirmava ser um representante do CNSP (a seguir «A. S.»), informou a empresa UAB «IT sprendimai sėkmei» (a seguir «sociedade ITSS») que o CNSP a tinha selecionado para criar uma aplicação móvel para esse efeito. A. S. enviou em seguida mensagens de correio eletrónico à sociedade ITSS relativas a diversos aspetos da criação dessa aplicação, sendo uma cópia dessas mensagens enviada ao diretor do CNSP.

14 Durante as negociações entre a sociedade ITSS e o CNSP, além de A. S. outros funcionários do CNSP dirigiram também mensagens de correio eletrónico a essa sociedade, relativas à redação das questões colocadas na aplicação móvel em causa.

15 Quando da criação desta aplicação móvel foi delineada uma política de confidencialidade, na qual a sociedade ITSS e o CNSP eram designados como responsáveis pelo tratamento.

16 A aplicação móvel em causa, mencionando a sociedade ITSS e o CNSP, foi disponibilizada para ser descarregada na loja em linha Google Play Store, em 4 de abril de 2020, e na loja em linha Apple App Store, em 6 de abril de 2020. Esteve em funcionamento até 26 de maio de 2020.

17 Entre 4 de abril de 2020 e 26 de maio de 2020, 3 802 pessoas utilizaram esta aplicação e forneceram os dados que lhes diziam respeito pedidos pela mesma, como número de identidade, coordenadas geográficas (latitude e longitude), país, cidade, município, código postal, nome de rua, número de imóvel, apelido, nome próprio, código pessoal, número de telefone e endereço.

18 Através de uma segunda Decisão de 10 de abril de 2020, o ministro da Saúde da República da Lituânia decidiu confiar ao diretor do CNSP a tarefa de coordenar a aquisição da aplicação móvel em causa à ITSS e, para esse efeito, foi preconizado recorrer‑se ao artigo 72.^o, n.^o 2, da Lei dos Contratos Públicos. Todavia, não foi adjudicado a esta sociedade nenhum contrato público de aquisição oficial dessa aplicação pelo CNSP.

19 Com efeito, em 15 de maio de 2020, o CNSP solicitou à referida sociedade que não o mencionasse de todo na aplicação móvel em causa. Além disso, por carta de 4 de junho de 2020, o CNSP informou a mesma sociedade de que, devido a falta de financiamento para a aquisição da aplicação, tinha posto termo, em conformidade com o artigo 29.^o, n.^o 3, da Lei dos Contratos Públicos, ao procedimento destinado a essa aquisição.

20 No âmbito de uma investigação relativa ao tratamento de dados pessoais iniciada em 18 de maio de 2020, a INPD determinou que tinham sido recolhidos dados pessoais com a ajuda da aplicação móvel em causa. Acresce que foi constatado que os utilizadores que tinham escolhido esta aplicação como método de acompanhamento do isolamento obrigatório devido à pandemia de COVID‑19 tinham respondido a questões que implicavam o tratamento de dados pessoais. Estes dados tinham sido fornecidos nas respostas às questões colocadas através da referida aplicação e respeitavam, nomeadamente, ao estado de saúde da pessoa em causa e ao cumprimento, por esta, das condições de isolamento.

21 Por Decisão de 24 de fevereiro de 2021, a INPD aplicou uma coima de 12 000 euros ao CNSP nos termos do artigo 83.^o do RGPD, devido à violação dos artigos 5.^o, 13.^o, 24.^o, 32.^o e 35.^o deste regulamento. Com esta decisão, foi também aplicada uma coima de 3 000 euros à sociedade ITSS enquanto responsável conjunta pelo tratamento.

22 O CNSP contestou esta decisão no Vilniaus apygardos administracinis teismas (Tribunal Administrativo Regional de Vílnius, Lituânia), que é o órgão jurisdicional de reenvio, alegando que a sociedade ITSS deve ser considerada a única responsável pelo tratamento, na aceção do artigo 4.^o, ponto 7, do RGPD. Pelo seu lado, a sociedade ITSS afirma que agiu na qualidade de subcontratante, na aceção do artigo 4.^o, ponto 8, do RGPD, seguindo as instruções do CNSP que é, na sua opinião, o único responsável pelo tratamento.

23 O órgão jurisdicional de reenvio salienta que a sociedade ITSS criou a aplicação móvel em causa e que o CNSP a aconselhou quanto ao conteúdo das questões colocadas através dessa aplicação. No entanto, não existe um contrato público entre o CNSP e a sociedade ITSS. Além disso, o CNSP não tinha aprovado ou autorizado a disponibilização da aplicação através de várias lojas em linha.

24 Este órgão jurisdicional de reenvio especifica que a criação da aplicação móvel em causa visava implementar o objetivo prosseguido pelo CNSP, ou seja, a gestão da pandemia de COVID‑19 através da criação de uma ferramenta informática, e que estava previsto o tratamento de dados pessoais para este efeito. Quanto ao papel da sociedade ITSS, não se esperava que esta sociedade prosseguisse outros objetivos que não cobrar uma remuneração pelo produto informático criado.

25 O referido órgão jurisdicional observa também que, quando da investigação do INPD, foi demonstrado que a sociedade lituana Juvare Lithuania, gestora do sistema informático de monitorização e controlo das doenças transmissíveis que se podem propagar, devia receber as cópias dos dados pessoais recolhidos pela aplicação móvel em causa. Além disso, para a testar, foram utilizados dados fictícios, com exceção dos números de telefone dos funcionários da referida sociedade.

26 Nestas condições, o Vilniaus apygardos administracinis teismas (Tribunal Administrativo Regional de Vílnius) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Pode o conceito de “responsável pelo tratamento” previsto no artigo 4.^o, [ponto] 7, do RGPD ser interpretado no sentido de que também deve ser considerada responsável pelo tratamento uma pessoa que pretende adquirir um instrumento de recolha de dados (aplicação móvel) através de concurso público, independentemente do facto de não ter sido celebrado um contrato público e de o produto criado (aplicação móvel), para cuja aquisição foi utilizado um procedimento de contratação pública, não ter sido transferido?

2) Pode o conceito de “responsável pelo tratamento” previsto no artigo 4.^o, [ponto] 7, do RGPD ser interpretado no sentido de que também deve ser considerada responsável pelo tratamento uma entidade adjudicante que não tenha adquirido o direito de propriedade do produto informático criado nem tenha tomado posse do mesmo, no caso de a versão final da aplicação criada fornecer hiperligações ou interfaces a essa entidade pública e/ou de a política de confidencialidade, que não foi oficialmente aprovada nem reconhecida pela entidade pública em questão, ter designado a própria entidade pública como responsável pelo tratamento?

3) Pode o conceito de “responsável pelo tratamento” previsto no artigo 4.^o, [ponto] 7, do RGPD ser interpretado no sentido de que também deve ser considerada responsável pelo tratamento uma pessoa que não tenha realizado efetivamente nenhuma operação de tratamento de dados, como definida no artigo 4.^o, [ponto] 2, do RGPD e/ou não tenha dado autorização ou consentimento de modo claro para a realização dessas operações? O facto de o produto informático utilizado para o tratamento de dados pessoais ter sido criado em conformidade com as especificações da entidade adjudicante é relevante para a interpretação do conceito de “responsável pelo tratamento”?

4) Se a determinação das operações de tratamento de dados efetivas for relevante para a interpretação do conceito de “responsável pelo tratamento”, deve a definição de “tratamento” de dados pessoais na aceção do artigo 4.^o, [ponto] 2, do RGPD ser interpretada no sentido de que abrange igualmente as situações em que foram utilizadas cópias de dados pessoais para testar sistemas informáticos no processo de aquisição de uma aplicação móvel?

5) Pode o controlo conjunto de dados, na aceção do artigo 4.^o, [ponto] 7, e do artigo 26.^o, n.^o 1, do RGPD ser interpretado exclusivamente no sentido de que implica atividades deliberadamente coordenadas no que respeita à determinação da finalidade e dos meios de tratamento de dados, ou pode esse conceito também ser interpretado no sentido de que o controlo conjunto também abrange situações em que não existe um “acordo” claro quanto à finalidade e aos meios de tratamento de dados e/ou em que as atividades não são coordenadas entre as entidades? As circunstâncias relacionadas com a fase de criação dos meios de tratamento de dados pessoais (aplicação informática) em que os dados pessoais foram tratados, e a finalidade da criação da aplicação têm relevância jurídica para a interpretação do conceito de controlo conjunto de dados? Pode um «acordo» entre responsáveis conjuntos pelo tratamento ser entendido exclusivamente como uma estipulação clara e definida dos termos que regulam o controlo conjunto de dados?

6) Deve a disposição do artigo 83.^o, n.^o 1, do RGPD, segundo a qual “a aplicação de coimas […] é […] efetiva, proporcionada e dissuasiva” ser interpretada no sentido de que abrange igualmente as situações em que o “responsável pelo tratamento” é considerado responsável quando, no processo de criação de um produto informático, a entidade que a desenvolveu também executa atividades de tratamento de dados pessoais, e as atividades de tratamento de dados pessoais irregulares executadas pelo subcontratante implicam sempre e automaticamente a responsabilidade jurídica por parte do responsável pelo tratamento? Deve esta disposição ser interpretada no sentido de que abrange igualmente as situações de responsabilidade objetiva do responsável pelo tratamento?»

Quanto às questões prejudiciais

Quanto à primeira a terceira questões

27 Com a suas primeira a terceira questões, que há que apreciar em conjunto, o órgão jurisdicional de reenvio pretende saber, no essencial, se o artigo 4.^o, ponto 7, do RGPD deve ser interpretado no sentido de que se pode considerar responsável pelo tratamento, na aceção desta disposição, uma entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel, quando esta entidade não procedeu, ela própria, a operações de tratamento de dados pessoais, não deu explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público dessa aplicação móvel, e não adquiriu a referida aplicação móvel.

28 O artigo 4.^o, ponto 7, do RGPD define de maneira ampla o conceito de «responsável pelo tratamento» como a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que, individualmente ou em conjunto com outras, «determina as finalidades e os meios de tratamento» de dados pessoais.

29 O objetivo desta definição ampla consiste, em conformidade com o do RGPD, em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, bem como, nomeadamente, um elevado nível de proteção do direito de qualquer pessoa à proteção dos dados pessoais que lhe digam respeito (v., neste sentido, Acórdãos de 29 de julho de 2019, Fashion ID, C‑40/17, EU:C:2019:629, n.^o 66, e de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 73, e jurisprudência referida).

30 O Tribunal de Justiça já declarou que qualquer pessoa singular ou coletiva que, para fins que lhe são próprios, influencia o tratamento desses dados e contribui assim para a determinação da finalidade e dos meios do tratamento pode ser considerada responsável pelo referido tratamento. A este respeito, não é necessário que a finalidade e os meios do tratamento sejam determinados através de orientações escritas ou instruções por parte do responsável pelo tratamento (v., neste sentido, Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.^os 67 e 68), nem que este tenha sido formalmente designado como tal.

31 Assim, para determinar se uma entidade, como o CNSP, pode ser considerada responsável pelo tratamento no sentido do artigo 4.^o, ponto 7, do RGPD, há que analisar se esta entidade influenciou efetivamente, para fins que lhe são próprios, a determinação das finalidades e dos meios deste tratamento.

32 No caso em apreço, sob reserva das verificações que incumbe ao órgão jurisdicional de reenvio efetuar, resulta dos autos de que o Tribunal de Justiça dispõe que a criação da aplicação móvel em causa foi encomendada pelo CNSP e visava implementar o objetivo por este prosseguido, ou seja, a gestão da pandemia de COVID‑19 através de uma ferramenta informática para efeitos do registo e da monitorização dos dados das pessoas expostas ao vírus da COVID‑19. Para este efeito, o CNSP tinha previsto que os dados pessoais dos utilizadores da aplicação móvel em causa fossem tratados. Resulta também da decisão de reenvio que os parâmetros desta aplicação, como as questões submetidas e a sua formulação, foram adaptados às necessidades do CNSP e que este teve um papel ativo na sua determinação.

33 Nestas condições, deve, em princípio, considerar‑se que o CNSP participou efetivamente na determinação das finalidades e dos meios do tratamento.

34 Em contrapartida, o mero facto de o CNSP ter sido mencionado enquanto responsável pelo tratamento na política de confidencialidade da aplicação móvel em causa e de terem sido incluídas hiperligações para esta entidade nessa aplicação só pode ser considerado pertinente na medida em que se demonstre que o CNSP aprovou, expressa ou tacitamente, essa menção ou essas hiperligações.

35 Além disso, as circunstâncias mencionadas pelo órgão jurisdicional de reenvio no âmbito das considerações em apoio das suas três primeiras questões prejudiciais, ou seja, que o CNSP não tratou ele próprio dos dados pessoais, que não existia um contrato entre o CNSP e a sociedade ITSS, que o CNSP não adquiriu a aplicação móvel em causa ou ainda que a difusão desta aplicação através de lojas em linha não foi autorizada pelo CNSP, não excluem que este possa ser qualificado de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD.

36 Com efeito, resulta desta disposição, lida à luz do considerando 74 do RGPD, que uma entidade, desde que cumpra a condição colocada pelo referido artigo 4.^o, ponto 7, é responsável não só por todo o tratamento de dados pessoais que realiza ela própria, como também pelo que é efetuado por sua conta.

37 A este propósito, importa no entanto especificar que o CNSP não pode ser considerado responsável pelo tratamento dos dados pessoais resultante da disponibilização ao público da aplicação móvel em causa se, antes dessa disponibilização, se opôs expressamente a ela, o que incumbe ao órgão jurisdicional de reenvio verificar. Com efeito, nessa hipótese, não se pode considerar que o tratamento em causa foi efetuado por conta do CNSP.

38 Tendo em conta o exposto, há que responder às questões primeira a terceira que o artigo 4.^o, ponto 7, do RGPD deve ser interpretado no sentido de que pode ser considerada responsável pelo tratamento, na aceção desta disposição, uma entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel e que, nesse contexto, participou na determinação das finalidades e dos meios do tratamento dos dados pessoais realizado através desta aplicação, ainda que esta entidade não tenha procedido, ela própria, a operações de tratamento de tais dados, não tenha dado explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público da referida aplicação móvel e não tenha adquirido esta mesma aplicação móvel, a menos que, antes dessa disponibilização ao público, a referida entidade se tenha expressamente oposto a ela e ao tratamento dos dados pessoais que daí resultou.

Quanto à quinta questão

39 Com a sua quinta questão, que importa examinar em segundo lugar, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 4.^o, ponto 7, e 26.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que a qualificação de duas entidades como responsáveis conjuntas pelo tratamento pressupõe a existência de um acordo entre essas entidades quanto à determinação das finalidades e dos meios do tratamento dos dados pessoais em causa ou a existência de um acordo que fixe as condições relativas à responsabilidade conjunta do tratamento.

40 Nos termos do artigo 26.^o, n.^o 1, do RGPD, existem «responsáveis conjuntos pelo tratamento» quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento.

41 Como o Tribunal de Justiça declarou, para poder ser considerada responsável conjunta pelo tratamento, uma pessoa singular ou coletiva deve, portanto, corresponder de forma independente à definição de «responsável pelo tratamento» constante do artigo 4.^o, ponto 7, do RGPD (v., neste sentido, Acórdão de 29 de julho de 2019, Fashion ID, C‑40/17, EU:C:2019:629, n.^o 74).

42 Entretanto, a existência de uma responsabilidade conjunta não se traduz necessariamente numa responsabilidade equivalente dos diferentes operadores abrangidos por um tratamento dos dados pessoais. Pelo contrário, esses operadores podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que a avaliação do nível de responsabilidade de cada um deve tomar em consideração todas as circunstâncias pertinentes do caso em apreço (Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.^o 43). Além disso, para que exista responsabilidade conjunta de vários intervenientes pelo mesmo tratamento não é necessário que cada um deles tenha acesso aos dados pessoais em causa (Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.^o 69 e jurisprudência referida).

43 Como o advogado‑geral salientou no n.^o 38 das suas conclusões, a participação na determinação das finalidades e dos meios do tratamento pode assumir diferentes formas, podendo esta participação resultar quer de uma decisão comum tomada por duas ou mais entidades quer de decisões convergentes dessas entidades. Ora, neste último caso, as referidas decisões devem complementar‑se de tal forma que cada uma delas deve ter um efeito concreto na determinação das finalidades e meios do tratamento.

44 Em contrapartida, não se pode exigir que exista um acordo formal entre estes responsáveis pelo tratamento quanto às finalidades e aos meios do tratamento.

45 É certo que, por força do artigo 26.^o, n.^o 1, do RGPD, lido à luz do considerando 79 do mesmo, os responsáveis conjuntos pelo tratamento devem, por acordo entre si, determinar de modo transparente as respetivas responsabilidades pelo cumprimento deste regulamento. Todavia, a existência de semelhante acordo não constitui uma condição prévia para que duas ou mais entidades sejam qualificadas de responsáveis conjuntas pelo tratamento, antes constituindo uma obrigação que este artigo 26.^o, n.^o 1, impõe aos responsáveis conjuntos pelo tratamento, uma vez assim qualificados, para assegurar o respeito pelas exigências do RGPD que sobre elas impendem. Assim, esta qualificação decorre do mero facto de várias entidades terem participado na determinação das finalidades e meios do tratamento.

46 Tendo em conta os fundamentos expostos, há que responder à quinta questão que os artigos 4.^o, ponto 7, e 26.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que a qualificação de duas entidades como sendo responsáveis conjuntas pelo tratamento não pressupõe nem a existência de um acordo entre essas entidades quanto à determinação das finalidades e dos meios do tratamento dos dados pessoais em causa, nem a existência de um acordo que fixe as condições relativas à responsabilidade conjunta do tratamento.

Quanto à quarta questão

47 Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.^o, ponto 2, do RGPD deve ser interpretado no sentido de que constitui um «tratamento», na aceção desta disposição, a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação móvel.

48 No caso em apreço, como resulta do ponto 25 do presente acórdão, a sociedade lituana que gere o sistema informático de monitorização e controlo das doenças transmissíveis que se podem propagar devia receber as cópias dos dados pessoais recolhidos pela aplicação móvel em causa. Para efeitos de testes informáticos, foram utilizados dados fictícios, com exceção dos números de telefone dos funcionários da referida sociedade.

49 A este respeito, em primeiro lugar, o artigo 4.^o, ponto 2, do RGPD define o conceito de «tratamento» como «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados». Numa enumeração não taxativa, introduzida pela locução «tais como», esta disposição menciona como exemplos de tratamento a recolha, a disponibilização e a utilização de dados pessoais.

50 Resulta, portanto, da redação dessa disposição, nomeadamente da expressão «uma operação», que o legislador da União pretendeu dar ao conceito de «tratamento» um alcance amplo [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.^o 35] e que as razões pelas quais uma operação ou um conjunto de operações são efetuadas não podem ser tidas em conta para determinar se essa operação ou este conjunto de operações constitui um «tratamento», na aceção do artigo 4.^o, ponto 2, do RGPD.

51 Assim, a questão de saber se são utilizados dados pessoais para testes informáticos ou para outro fim é irrelevante para a qualificação da operação em causa de «tratamento», na aceção do artigo 4.^o, ponto 2, do RGPD.

52 Em segundo lugar, importa todavia especificar que só um tratamento que vise «dados pessoais» constitui um «tratamento», na aceção do artigo 4.^o, ponto 2, do RGPD.

53 O artigo 4.^o, ponto 1, do RGPD especifica a este respeito que se deve entender por «dados pessoais» «informação relativa a uma pessoa singular identificada ou identificável», ou seja, «uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social».

54 Ora, a circunstância a que o órgão jurisdicional de reenvio se refere na sua quarta questão, de que se trata de «cópias de dados pessoais», não é, enquanto tal, suscetível de negar a essas cópias a qualificação de dados pessoais, na aceção do artigo 4.^o, ponto 1, do RGPD, desde que tais cópias contenham efetivamente informações relativas a uma pessoa singular identificada ou identificável.

55 Importa, todavia, constatar que dados fictícios, quando não sejam relativos a uma pessoa singular identificada ou identificável mas a uma pessoa que, na realidade, não existe, não constituem dados pessoais, na aceção do artigo 4.^o, ponto 1, do RGPD.

56 Sucede o mesmo no que respeita aos dados utilizados para efeitos de testes informáticos que são anónimos ou foram anonimizados.

57 Com efeito, decorre do considerando 26 do RGPD e da própria definição do conceito de «dados pessoais» fornecida pelo artigo 4.^o, ponto 1, desse regulamento, que não se enquadram neste conceito as «informações anónimas, ou seja, [a]s informações que não digam respeito a uma pessoa singular identificada ou identificável», nem os «dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado».

58 Em contrapartida, decorre do artigo 4.^o, ponto 5, do RGPD, em conjugação com o considerando 26 deste regulamento, que os dados pessoais que só tenham sido objeto de um pseudónimo e que possam ser atribuídos a uma pessoa singular através da utilização de informações suplementares devem ser considerados informações sobre uma pessoa singular identificável, às quais se aplicam os princípios da proteção de dados.

59 Tendo em conta o exposto, há que responder à quarta questão que o artigo 4.^o, ponto 2, do RGPD deve ser interpretado no sentido de que constitui um «tratamento», na aceção desta disposição, a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação móvel, a menos que tais dados tenham sido tornados anónimos de modo que a pessoa à qual tais dados dizem respeito não seja ou já não seja identificável ou que estejam em causa dados fictícios que não dizem respeito a uma pessoa singular existente.

Quanto à sexta questão

60 Com a sexta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 83.^o do RGPD deve ser interpretado no sentido de que, por um lado, só pode ser aplicada uma coima ao abrigo desta disposição se se demonstrar que o responsável pelo tratamento incorreu, intencionalmente ou por negligência, numa violação referida nos n.^os 4 a 6 deste artigo e, por outro, tal coima pode ser aplicada a um responsável pelo tratamento relativamente a operações de tratamento realizadas por um subcontratante por conta deste.

61 Quanto, em primeiro lugar, à questão de saber se uma coima pode ser aplicada com base no artigo 83.^o do RGPD apenas na medida em que se demonstrar que o responsável pelo tratamento ou o subcontratante incorreu, intencionalmente ou por negligência, numa violação referida nos n.^os 4 a 6 deste artigo, resulta do n.^o 1 do referido artigo que essa coima deve ser efetiva, proporcionada e dissuasiva. Em contrapartida, o artigo 83.^o do RGPD não especifica expressamente que essa violação só pode ser punida com essa coima se foi intencional ou, pelo menos, por negligência.

62 O Governo Lituano e o Conselho da União Europeia daí deduzem que o legislador da União quis deixar aos Estados‑Membros uma certa margem de apreciação na implementação do artigo 83.^o do RGPD, permitindo‑lhes prever a aplicação de coimas com base nesta disposição, sendo caso disso, sem que se demonstre que a violação do RGPD punida por esta coima foi intencional ou por negligência.

63 Tal interpretação do artigo 83.^o do RGPD não pode proceder.

64 A este respeito, importa lembrar que, em virtude do artigo 288.^o TFUE, as disposições dos regulamentos produzem, em geral, efeito imediato nas ordens jurídicas nacionais, não sendo necessário que as autoridades nacionais tomem medidas de aplicação. No entanto, pode ser necessário, para a implementação de algumas disposições dos regulamentos, que os Estados‑Membros adotem medidas de aplicação (v., neste sentido, Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 58 e jurisprudência referida).

65 É nomeadamente o caso do RGPD, no qual algumas disposições conferem aos Estados‑Membros a possibilidade de preverem regras nacionais adicionais, mais rigorosas ou derrogatórias, que lhes deixam uma margem de apreciação quanto ao modo como essas disposições podem ser aplicadas (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 57).

66 Do mesmo modo, na falta de regras processuais específicas no RGPD, cabe à ordem jurídica de cada Estado‑Membro fixar, sem prejuízo do respeito pelos princípios da equivalência e da efetividade, as modalidades das ações destinadas a garantir a salvaguarda dos direitos conferidos aos litigantes pelas disposições desse regulamento [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial resultante de um tratamento ilícito de dados), C‑300/21, EU:C:2023:370, n.^os 53 e 54 e jurisprudência referida].

67 Entretanto, nada na redação do artigo 83.^o, n.^os 1 a 6, do RGPD permite considerar que o legislador da União quis deixar uma margem de apreciação aos Estados‑Membros no que respeita às condições substantivas que devem ser respeitadas por uma autoridade de controlo quando decide aplicar uma coima a um responsável pelo tratamento devido a uma violação referida nos n.^os 4 a 6 deste artigo.

68 É certo que, por um lado, o artigo 83.^o, n.^o 7, do RGPD, estabelece que os Estados‑Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território. Por outro lado, resulta do artigo 83.^o, n.^o 8, deste regulamento, lido à luz do seu considerando 129, que o exercício das competências que lhe são atribuídas por esse artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados‑Membros, incluindo o direito à ação judicial e a um processo equitativo.

69 Todavia, o facto de o referido regulamento dar também aos Estados‑Membros a possibilidade de prever exceções em relação às autoridades e organismos públicos estabelecidos no seu território, e exigências relativas ao procedimento a seguir pelas autoridades de controlo para aplicar uma coima não significa de modo nenhum que esses Estados estão também habilitados para prever, além das exceções e exigências de natureza processual, condições substantivas que devem ser respeitadas para responsabilizar o responsável pelo tratamento e aplicar‑lhe uma coima nos termos do referido artigo 83.^o Além disso, o facto de o legislador da União ter tido o cuidado de prever expressamente esta possibilidade, mas não o de prever tais condições substantivas, confirma que não deixou aos Estados‑Membros uma margem de apreciação a este respeito.

70 Esta constatação é também corroborada por uma leitura conjunta dos artigos 83.^o e 84.^o do RGPD. Com efeito, o artigo 84.^o, n.^o 1, deste regulamento admite que os Estados‑Membros conservem a competência para estabelecer as regras relativas às «outras sanções aplicáveis» em caso de violação desse regulamento, «nomeadamente às violações que não são sujeitas a coimas nos termos do artigo […]83.^o». Resulta assim da leitura conjunta destas disposições que escapa a esta competência a determinação das condições substantivas que permitem aplicar tais coimas. Estas condições são regidas, pois, unicamente pelo direito da União.

71 No que respeita às referidas condições, há que salientar que o artigo 83.^o, n.^o 2, do RGPD enumera os elementos à luz dos quais a autoridade de controlo aplica uma coima ao responsável pelo tratamento. Entre estes elementos figura, na alínea b) desta disposição, «[o] caráter intencional ou negligente da infração». Em contrapartida, nenhum dos elementos enumerados na referida disposição prevê qualquer possibilidade de responsabilizar o responsável pelo tratamento na ausência de um comportamento culposo da sua parte.

72 Acresce que importa ler o artigo 83.^o, n.^o 2, do RGPD, em conjugação com o seu n.^o 3, cujo objeto é prever as consequências dos casos de cúmulo de violações desse regulamento e nos termos do qual «[s]e o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave».

73 Decorre assim da redação do artigo 83.^o, n.^o 2, do RGPD que só as violações das disposições deste regulamento cometidas de modo culposo pelo responsável pelo tratamento, ou seja, as cometidas intencionalmente ou por negligência, podem conduzir a que lhe seja aplicada uma coima nos termos deste artigo.

74 A sistemática geral e a finalidade do RGPD corroboram esta leitura.

75 O legislador da União previu também um sistema de sanções que permitem às autoridades de controlo aplicar as sanções mais adequadas segundo as circunstâncias de cada caso.

76 Com efeito, o artigo 58.^o do RGPD, que fixa os poderes das autoridades de controlo prevê, no seu n.^o 2, alínea i), que estas autoridades podem impor coimas nos termos do artigo 83.^o deste regulamento, «para além ou em vez» das outras medidas de correção referidas nesse artigo 58.^o, n.^o 2, como advertências, repreensões ou ordens. Do mesmo modo, o considerando 148 do referido regulamento prevê nomeadamente que as autoridades de controlo podem, em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, abster‑se de aplicar uma coima e, em vez disso, fazer uma repreensão.

77 Por outro lado, resulta, em especial, do considerando 10 do RGPD que as disposições deste têm, nomeadamente, por objetivos assegurar um nível de proteção coerente e elevado das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e, para esse efeito, assegurar a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais dessas pessoas relativamente ao tratamento de tais dados em toda a União. Os considerandos 11 e 129 do RGPD salientam, por outro lado, a necessidade, para assegurar a aplicação coerente deste regulamento, de as autoridades de controlo disporem de poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e para aplicar sanções equivalentes em caso de infrações ao referido regulamento.

78 A existência de um sistema de sanções que permite aplicar, quando as circunstâncias específicas de cada caso em apreço o justifiquem, uma coima nos termos do artigo 83.^o do RGPD gera, para os responsáveis pelo tratamento e os subcontratantes, um incentivo ao cumprimento do regulamento. Através do seu efeito dissuasivo, as coimas contribuem para o reforço da proteção das pessoas singulares relativamente ao tratamento dos dados pessoais e constituem assim um elemento‑chave para garantir o respeito pelos direitos dessas pessoas, em conformidade com a finalidade desse regulamento de assegurar um nível de proteção elevado dessas pessoas relativamente ao tratamento dos dados pessoais.

79 No entanto, o legislador da União não considerou necessário, para assegurar esse nível elevado de proteção, prever a aplicação de coimas na ausência de culpa. Atendendo ao facto de o RGPD visar um nível de proteção simultaneamente equivalente e homogéneo e que deve, para esse fim, ser aplicado de forma coerente em toda a União, seria contrário a esta finalidade permitir aos Estados‑Membros preverem tal regime de aplicação de uma coima nos termos do artigo 83.^o desse regulamento. Essa liberdade de escolha seria, além disso, suscetível de falsear a concorrência entre os operadores económicos na União, o que contrariaria os objetivos expressos pelo legislador da União, nomeadamente, nos considerandos 9 e 13 do referido regulamento.

80 Por conseguinte, há que observar que o artigo 83.^o do RGPD não permite aplicar uma coima relativamente a uma violação referida nos seus n.^os 4 a 6, sem que se demonstre que essa violação foi cometida intencionalmente ou por negligência pelo responsável pelo tratamento, e que, logo, a violação culposa constitui uma condição para a aplicação dessa coima.

81 A este propósito, importa ainda especificar, tratando‑se da questão de saber se uma violação foi cometida intencionalmente ou por negligência e se pode, por isso, ser‑lhe aplicada uma coima nos termos do artigo 83.^o do RGPD, que um responsável pelo tratamento pode ser punido por um comportamento abrangido pelo âmbito de aplicação do RGPD quando esse responsável pelo tratamento não podia ignorar o caráter ilícito do seu comportamento, quer estivesse ou não ciente de infringir as disposições do RGPD (v., por analogia, Acórdãos de 18 de junho de 2013, Schenker & Co. e o., C‑681/11, EU:C:2013:404, n.^o 37 e jurisprudência referida, e de 25 de março de 2021, Lundbeck/Comissão, C‑591/16 P, EU:C:2021:243, n.^o 156, e de 25 de março de 2021, Arrow Group e Arrow Generics/Comissão, C‑601/16 P, EU:C:2021:244, n.^o 97).

82 Quando o responsável pelo tratamento é uma pessoa coletiva, importa ainda especificar que a aplicação do artigo 83.^o do RGPD não implica uma ação, ou mesmo o conhecimento, do órgão de gestão dessa pessoa coletiva (v., por analogia, Acórdãos de 7 de junho de 1983, Musique Diffusion française e o./Commission, 100/80 a 103/80, EU:C:1983:158, n.^o 97, e de 16 de fevereiro de 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comissão, C‑94/15 P, EU:C:2017:124, n.^o 28 e jurisprudência referida).

83 Em segundo lugar, quanto à questão de saber se se pode aplicar uma coima nos termos do artigo 83.^o do RGPD a um responsável pelo tratamento à luz das operações de tratamento realizadas por um subcontratante, importa lembrar que, segundo a definição que consta do artigo 4.^o, ponto 8, do RGPD é subcontratante «uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes».

84 Uma vez que, como foi indicado no n.^o 36 do presente acórdão, o responsável pelo tratamento é responsável por qualquer tratamento de dados pessoais realizado por si mas também pelos tratamentos efetuados por sua conta, pode aplicar‑se a este responsável uma coima nos termos do artigo 83.^o do RGPD numa situação em que dados pessoais são objeto de um tratamento ilícito e em que não foi o responsável, mas um subcontratante a quem aquele recorreu, que efetuou o referido tratamento por conta do mesmo.

85 Todavia, a responsabilidade do responsável pelo tratamento pelo comportamento de um subcontratante não se pode estender às situações nas quais o subcontratante tratou dados pessoais para finalidades que lhe são próprias ou nas quais este último tratou dados de maneira incompatível com o quadro ou as modalidades de tratamento tais como tinham sido determinadas pelo responsável pelo tratamento, ou de tal forma que não se possa razoavelmente considerar que a pessoa responsável teria dado o seu consentimento. Com efeito, em conformidade com o artigo 28.^o, n.^o 10, do RGPD, o subcontratante deve, nessa hipótese, ser considerado responsável pelo tratamento no que respeita ao tratamento em questão.

86 Tendo em conta as considerações expostas, há que responder à sexta questão que o artigo 83.^o do RGPD deve ser interpretado no sentido de que, por um lado, só pode ser aplicada uma coima ao abrigo desta disposição se se demonstrar que o responsável pelo tratamento cometeu, intencionalmente ou por negligência, uma violação referida nos n.^os 4 a 6 deste artigo e, por outro, tal coima pode ser aplicada a um responsável pelo tratamento relativamente a operações de tratamento de dados pessoais realizadas por um subcontratante por sua conta, salvo se, no âmbito dessas operações este subcontratante tiver realizado tratamentos para finalidades que lhe são próprias ou tiver tratado esses dados de maneira incompatível com o quadro ou com as modalidades de tratamento conforme tinham sido determinadas pelo responsável pelo tratamento, ou de tal forma que não se possa razoavelmente considerar que a pessoa responsável teria dado o seu consentimento.

Quanto às despesas

87 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1) O artigo 4.^o, ponto 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

deve ser interpretado no sentido de que:

pode ser considerada responsável pelo tratamento, na aceção desta disposição, uma entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel e que, nesse contexto, participou na determinação das finalidades e dos meios do tratamento dos dados pessoais realizado através desta aplicação, ainda que esta entidade não tenha procedido, ela própria, a operações de tratamento de tais dados, não tenha dado explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público da referida aplicação móvel e não tenha adquirido esta mesma aplicação móvel, a menos que, antes dessa disponibilização ao público, a referida entidade se tenha expressamente oposto a ela e ao tratamento dos dados pessoais que daí resultou.

2) Os artigos 4.^o, ponto 7, e 26.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

a qualificação de duas entidades como sendo responsáveis conjuntas pelo tratamento não pressupõe nem a existência de um acordo entre essas entidades quanto à determinação das finalidades e dos meios do tratamento dos dados pessoais em causa, nem a existência de um acordo que fixe as condições relativas à responsabilidade conjunta do tratamento.

3) O artigo 4.^o, ponto 2, do Regulamento 2016/679

deve ser interpretado no sentido de que:

constitui um «tratamento», na aceção desta disposição, a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação móvel, a menos que tais dados tenham sido tornados anónimos de modo que a pessoa à qual tais dados dizem respeito não seja ou já não seja identificável ou que estejam em causa dados fictícios que não dizem respeito a uma pessoa singular existente.

4) O artigo 83.^o do Regulamento 2016/679

deve ser interpretado no sentido de que:

por um lado, só pode ser aplicada uma coima ao abrigo desta disposição se se demonstrar que o responsável pelo tratamento cometeu, intencionalmente ou por negligência, uma violação referida nos n.^os 4 a 6 deste artigo,

e, por outro, tal coima pode ser aplicada a um responsável pelo tratamento relativamente a operações de tratamento de dados pessoais realizadas por um subcontratante por sua conta, salvo se, no âmbito dessas operações este subcontratante tiver realizado tratamentos para finalidades que lhe são próprias ou tiver tratado esses dados de maneira incompatível com o quadro ou com as modalidades de tratamento conforme tinham sido determinadas pelo responsável pelo tratamento, ou de tal forma que não se possa razoavelmente considerar que a pessoa responsável teria dado o seu consentimento.

Assinaturas

* Língua do processo: lituano.