CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:537

Processo C‑252/21

Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Ltd,anteriormente Facebook Ireland Ltd,
e
Facebook Deutschland GmbH

contra

Bundeskartellamt

(pedido de decisão prejudicial apresentado pelo Oberlandesgericht Düsseldorf)

Acórdão do Tribunal de Justiça (Grande Secção) de 4 de julho de 2023

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Redes sociais em linha — Abuso de posição dominante pelo operador de uma rede desse tipo — Abuso que consiste no tratamento de dados pessoais dos utilizadores dessa rede previsto pelas suas condições gerais de utilização — Competências de uma autoridade da concorrência de um Estado‑Membro para declarar a não conformidade desse tratamento com este regulamento — Articulação com as competências das autoridades nacionais responsáveis pelo controlo da proteção dos dados pessoais — Artigo 4.°, n.° 3, TUE — Princípio da cooperação leal — Artigo 6.°, n.° 1, primeiro parágrafo, alíneas a) a f), do Regulamento 2016/679 — Licitude do tratamento — Artigo 9.°, n.os 1 e 2 — Tratamento de categorias especiais de dados pessoais — Artigo 4.°, ponto 11 — Conceito de “consentimento”»

1. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Redes sociais em linha — Abuso de posição dominante pelo operador de uma rede desse tipo — Abuso que consiste no tratamento de dados pessoais dos utilizadores dessa rede previsto pelas suas condições gerais de utilização — Competências de uma autoridade da concorrência nacional para declarar a não conformidade desse tratamento com este regulamento — Alcance — Articulação com as competências das autoridades nacionais responsáveis pelo controlo da proteção dos dados pessoais — Dever de cooperação leal da autoridade nacional de concorrência com as autoridades nacionais de controlo

[Artigo 4.°, n.° 3, TUE; artigo 102.° TFUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigos 51.°, 55.° a 58.°, 60.° a 65.°)]

(cf. n.^os 48‑59, 62, 63, disp. 1)

2. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Tratamento de categorias especiais de dados pessoais — Conceito — Recolha pelo operador da rede social em linha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados provenientes da consulta de sítios Internet e de aplicações, bem como de dados inseridos pelo utilizador dessa rede social — Cruzamento do conjunto dos referidos dados com a conta na rede social desse utilizador e na utilização dos referidos dados por esse operador — Inclusão — Requisito

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 51 e artigo 9.°, n.° 1]

(cf. n.° 73, disp. 2)

3. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Tratamento de categorias especiais de dados pessoais — Proibição — Derrogações — Tratamento de dados manifestamente tornados públicos pelo seu titular — Dados relativos à consulta, pelo utilizador de uma rede social em linha, dos sítios Internet ou das aplicações relacionados com uma ou várias das categorias especiais de dados, recolhidos pelo operador dessa rede social através de cookies ou de tecnologias de registo semelhantes — Exclusão — Introdução de dados nesses sítios Internet ou nessas aplicações ou ativação dos botões de seleção integrados nesses sítios ou nessas aplicações, ou dos botões que permitem ao utilizador identificar‑se nesses sítios ou nessas aplicações utilizando as credenciais de conexão ligadas à sua conta de utilizador da rede social em linha — Inclusão — Requisito

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 9.°, n.° 1 e n.° 2.°, alínea e)]

(cf. n.^os 84, 85, disp. 3)

4. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Condições gerais de licitude do tratamento de dados pessoais — Tratamento necessário para a execução do contrato que vincula o titular de dados — Conceito — Recolha, efetuada pelo operador da rede social em linha, de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou de dados provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros — Cruzamento desses dados com a conta da rede social dos referidos utilizadores e utilização dos referidos dados — Inclusão — Requisito

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 6.°, n.° 1, primeiro parágrafo, alínea b)]

(cf. n.^os 91‑93, 97‑104, 125, disp. 4)

5. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Condições de licitude do tratamento de dados pessoais — Tratamento necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular dos dados, que exijam a proteção dos dados — Conceito — Recolha, efetuada pelo operador da rede social em linha, de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou de dados provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros — Cruzamento desses dados com a conta da rede social dos referidos utilizadores e utilização dos referidos dados — Inclusão — Requisitos

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerandos 47 e 49, artigo 6.°, n.° 1, primeiro parágrafo, alínea f)]

(cf. n.^os 105‑124, 126, disp. 5)

6. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Condições de licitude do tratamento de dados pessoais — Tratamento necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular — Tratamento necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento — Conceito — Recolha, efetuada pelo operador da rede social em linha, de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou de dados provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros — Cruzamento desses dados com a conta da rede social dos referidos utilizadores e utilização dos referidos dados — Exclusão — Verificação que incumbe ao órgão jurisdicional nacional

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 46, artigo 6.°, n.° 1, primeiro parágrafo, alíneas d) e e)]

(cf. n.^os 137, 139, disp. 7)

7. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Condições de licitude do tratamento de dados pessoais — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito — Conceito — Recolha, efetuada pelo operador da rede social em linha, de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou de dados provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros — Cruzamento desses dados com a conta da rede social dos referidos utilizadores e utilização dos referidos dados — Inclusão — Requisitos

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 6.°, n.° 1, primeiro parágrafo, alínea c)]

(cf. n.° 138, disp. 6)

8. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Conceito de consentimento — Posição dominante no mercado das redes sociais em linha ocupada pelo operador de uma rede social em linha — Circunstância que não obsta ao consentimento válido dos utilizadores dessa rede ao tratamento dos seus dados efetuado pelo referido operador — Circunstância que constitui um elemento importante para determinar a validade e, nomeadamente, a liberdade do consentimento assim dado pelos utilizadores dessa rede social — Ónus da prova que incumbe ao operador da referida rede social

[Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerandos 42 e 43, artigo 4.°, n.° 11, artigo 6.°, n.° 1, primeiro parágrafo, alínea a), e artigo 9.°, n.° 2, alínea a)]

(cf. n.^os 143‑154, disp. 8)

Resumo

A sociedade Meta Platforms é proprietária da rede social em linha «Facebook», que é gratuita para os utilizadores privados. O modelo económico desta rede social baseia‑se no financiamento através da publicidade em linha, feita por medida para os seus utilizadores individuais. Esta publicidade é tecnicamente possível através da criação automatizada de perfis pormenorizados dos utilizadores da rede e dos serviços em linha propostos ao nível do grupo Meta. Assim, para poder utilizar a referida rede social, os utilizadores devem, no momento do seu registo, aceitar as condições gerais estabelecidas pela Meta Platforms, que remetem para as políticas de utilização dos dados e dos testemunhos de conexão (cookies) fixados pela referida sociedade. Ao abrigo destas últimas, além dos dados que esses utilizadores fornecem diretamente ao registarem‑se, a Meta Platforms recolhe também dados às atividades desses utilizadores dentro e fora da rede social e cruza esses dados com as contas Facebook dos utilizadores em causa. Quanto a estes últimos dados, também designados «dados off‑Facebook», trata‑se, por um lado, dos dados relativos à consulta de páginas Internet e de aplicações de terceiros, e, por outro, dos dados relativos à utilização dos outros serviços em linha pertencentes ao grupo Meta (entre os quais o Instagram e o WhatsApp). A síntese global destes dados permite tirar conclusões detalhadas sobre as preferências e os interesses desses mesmos utilizadores.

Por Decisão de 6 de fevereiro de 2019, o Bundeskartellamt (Autoridade Federal da Concorrência, Alemanha) proibiu a Meta Platforms, por um lado, de sujeitar, nas condições gerais em vigor (1), a utilização da rede social Facebook por utilizadores privados residentes na Alemanha ao tratamento dos seus dados off‑Facebook e de proceder, sem o seu consentimento, ao tratamento desses dados Além disso, a Autoridade Federal da Concorrência impôs‑lhes que adaptassem essas condições gerais de modo a delas resultar claramente que os referidos dados não serão recolhidos, cruzados com as contas de utilizadores Facebook nem utilizados sem o consentimento do utilizador em causa. Por último, essa autoridade sublinhou que esse consentimento não era válido quando constituía uma condição para a utilização da rede social. Fundamentou a sua decisão no facto de o tratamento dos dados dos utilizadores em causa, que não está em conformidade com o RGPD (2), constituir uma exploração abusiva da posição dominante da Meta Platforms no mercado das redes sociais em linha.

A Meta Platforms interpôs recurso dessa decisão no Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha). Tendo dúvidas, por um lado, quanto à possibilidade de as autoridades nacionais da concorrência controlarem a conformidade de um tratamento de dados pessoais com os requisitos estabelecidos no RGPD e, por outro, quanto à interpretação e aplicação de algumas disposições deste regulamento, o Tribunal Regional Superior de Düsseldorf apresentou um pedido de decisão prejudicial ao Tribunal de Justiça.

Com o seu acórdão, o Tribunal de Justiça, reunido em Grande Secção, pronuncia‑se sobre a competência de uma autoridade nacional da concorrência para declarar a não conformidade de um tratamento de dados pessoais com o RGPD, bem como a sua articulação com as competências das autoridades nacionais responsáveis pelo controlo da proteção dos dados (3). Por outro lado, confere precisões sobre a possibilidade de tratamento, pelo operador de uma rede social, dos dados pessoais «sensíveis» dos seus utilizadores, sobre as condições de licitude do tratamento de dados efetuado por esse operador, bem como sobre a validade do consentimento, dado para efeitos do tratamento por esses utilizadores, a uma empresa em posição dominante no mercado nacional das redes sociais em linha.

Apreciação do Tribunal de Justiça

Em primeiro lugar, no que se refere à competência de uma autoridade da concorrência para declarar a não conformidade com o RGPD de um tratamento de dados pessoais, o Tribunal de Justiça considera que, sob reserva do cumprimento da sua obrigação de cooperação leal (4) com as autoridades de controlo da proteção de dados, essa autoridade pode constatar, no âmbito do exame de um abuso de posição dominante por parte de uma empresa (5), que as condições gerais de utilização dessa empresa relativas ao tratamento de dados pessoais e à sua aplicação não estão em conformidade com este regulamento, quando essa constatação seja necessária para demonstrar a existência de tal abuso. No entanto, quando uma autoridade da concorrência assinala uma violação do RGPD no âmbito da constatação de um abuso de posição dominante, não se substitui às autoridades de controlo.

Assim, tendo em conta o princípio da cooperação leal, quando as autoridades nacionais da concorrência são levadas, no exercício das suas competências, a examinar a conformidade de um comportamento de uma empresa com as disposições do RGPD, devem concertar‑se e cooperar lealmente com as respetivas autoridades nacionais de controlo ou com a autoridade de controlo principal. Estão então todas estas autoridades obrigadas a respeitar os respetivos poderes e competências, de modo que as obrigações decorrentes do RGPD e os objetivos deste regulamento sejam cumpridos e o seu efeito útil seja preservado. Daqui resulta que, quando, no âmbito do exame destinado a constatar a existência de um abuso de posição dominante por parte de uma empresa, uma autoridade nacional da concorrência considere que é necessário examinar a conformidade de um comportamento dessa empresa com as disposições do RGPD, a referida autoridade deve verificar se esse comportamento ou um comportamento semelhante já foi objeto de uma decisão pela autoridade nacional de controlo competente ou pela autoridade de controlo principal ou ainda pelo Tribunal de Justiça. Se for esse o caso, a autoridade nacional da concorrência não se pode afastar dessa decisão, permanecendo livre de daí retirar as suas próprias conclusões do ponto de vista da aplicação do direito da concorrência.

Quando tenha dúvidas sobre o alcance da apreciação feita pela autoridade nacional de controlo competente ou pela autoridade de controlo principal, quando o comportamento em causa ou um comportamento semelhante seja, ao mesmo tempo, objeto de um exame por parte dessas autoridades, ou ainda quando, não tendo as referidas autoridades realizado uma investigação, considere que um comportamento de uma empresa não está em conformidade com as disposições do RGPD, a autoridade nacional da concorrência deve consultar essas autoridades e solicitar a respetiva cooperação, a fim de dissipar as suas dúvidas ou determinar se deve aguardar pela adoção de uma decisão por parte da autoridade de controlo interessada antes de iniciar a sua própria apreciação. Na falta de objeção da sua parte ou de resposta num prazo razoável, a autoridade da concorrência pode prosseguir a sua própria investigação.

Em segundo lugar, quanto ao tratamento de categorias especiais de dados pessoais (6), o Tribunal de Justiça considera que, no caso de um utilizador de uma rede social em linha consultar sítios Internet ou aplicações relacionadas com uma ou várias das categorias referidas nesta disposição e, se for caso disso, neles inserir dados, registando‑se ou efetuando encomendas em linha, o tratamento de dados pessoais pelo operador dessa rede social em linha (7) deve ser considerado um «tratamento de categorias especiais de dados pessoais», na aceção do artigo 9.°, n.° 1, do RGPD, quando permita revelar informações abrangidas por uma dessas categorias, independentemente de essas informações dizerem respeito a um utilizador dessa rede ou a qualquer outra pessoa singular. Esse tratamento de dados é, em princípio, proibido, sob reserva de certas derrogações (8).

A este último respeito, o Tribunal de Justiça especifica que quando o utilizador de uma rede social consulte sítios Internet ou aplicações relativamente a uma ou várias das categorias especiais de dados, não torna manifestamente públicos (9) os dados relativos a essa consulta, recolhidos pelo operador dessa rede social em linha através de cookies ou de tecnologias de registo semelhantes. Por outro lado, quando insere dados em tais sítios Internet ou em tais aplicações ou quando ativa botões de seleção integrados nesses sítios ou nessas aplicações, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se nesses sítios ou nessas aplicações utilizando as credenciais de conexão associadas à sua conta de utilizador da rede social, o seu número de telefone ou o seu endereço de correio eletrónico, esse utilizador só torna manifestamente públicos os dados assim inseridos ou resultantes da ativação desses botões no caso de ter manifestado expressamente a sua escolha prévia, eventualmente com base numa parametrização individual efetuada com pleno conhecimento de causa, de tornar os dados que lhe dizem respeito publicamente acessíveis a um número ilimitado de pessoas.

Em terceiro lugar, no que diz mais genericamente respeito às condições de licitude do tratamento de dados pessoais, o Tribunal recorda que, nos termos do RGPD, o tratamento de dados pessoais é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para uma ou mais finalidades específicas (10). Não tendo esse consentimento sido prestado, ou quando esse consentimento não tenha sido dado de forma livre, específica, informada e inequívoca, esse tratamento é, não obstante, justificado quando cumpre um dos requisitos de necessidade (11), que devem ser interpretados de forma estrita. Ora, o tratamento de dados pessoais dos seus utilizadores efetuado pelo operador de uma rede social em linha só pode ser considerado necessário para a execução de um contrato do qual os titulares de dados são partes se esse tratamento for objetivamente indispensável para realizar uma finalidade que faça parte integrante da prestação contratual destinada a esses mesmos utilizadores, de modo que o objeto principal do contrato não poderia ser alcançado sem esse tratamento.

Além disso, segundo o Tribunal, o tratamento de dados em causa só pode ser considerado necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, na aceção desta disposição, desde que o referido operador tenha indicado aos utilizadores cujos dados foram recolhidos um interesse legítimo prosseguido pelo seu tratamento, que esse tratamento seja efetuado na estrita medida do necessário para a realização desse interesse legítimo e que resulte de uma ponderação dos interesses opostos, à luz de todas as circunstâncias pertinentes, que os interesses ou os direitos ou as liberdades fundamentais desses utilizadores não prevalecem sobre o referido interesse legítimo do responsável pelo tratamento ou de um terceiro. Ora, o Tribunal de Justiça considera nomeadamente que, na falta de consentimento prestado da sua parte, os interesses e os direitos fundamentais dos referidos utilizadores prevalecem sobre o interesse do operador de uma rede social em linha na personalização da publicidade através da qual financia a sua atividade.

Por último, o Tribunal especifica que o tratamento de dados em causa é justificado quando for efetivamente necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento está sujeito, por força de uma disposição do direito da União ou do direito do Estado‑Membro em causa, quando esse fundamento jurídico responda a um objetivo de interesse público e seja proporcionado ao objetivo legítimo prosseguido e quando esse tratamento seja efetuado na estrita medida do necessário.

Em quarto e último lugar, no que se refere à validade do consentimento dos utilizadores em causa no tratamento dos seus dados ao abrigo do RGPD, o Tribunal de Justiça considera que a circunstância de o operador de uma rede social em linha ocupar uma posição dominante no mercado das redes sociais em linha não obsta, enquanto tal, a que os utilizadores dessa rede possam validamente consentir no tratamento dos seus dados pessoais, a ser efetuado por esse operador. Não obstante, uma vez que é suscetível de afetar a liberdade de escolha desses utilizadores e criar um desequilíbrio manifesto entre os mesmos e o referido operador, esta circunstância constitui um elemento importante para determinar se o consentimento foi efetivamente dado de forma válida e, nomeadamente, livre, o que incumbe ao referido operador provar (12).

Em especial, os utilizadores da rede social em questão devem dispor da liberdade de recusar individualmente, no âmbito do processo contratual, dar o seu consentimento a operações específicas de tratamento de dados não necessárias à execução do contrato, sem que, no entanto, sejam obrigados a renunciar integralmente à utilização dessa rede social em linha, o que implica que seja proposta aos referidos utilizadores, sendo caso disso mediante uma remuneração adequada, uma alternativa equivalente não acompanhada de tais operações de tratamento de dados. Além disso, deve poder ser dado um consentimento distinto para o tratamento dos dados off‑Facebook.

1 Em 31 de julho de 2019, a Meta Platforms introduziu novas condições gerais indicando expressamente que o utilizador, em vez de pagar pela utilização dos produtos do Facebook, declara consentir os anúncios publicitários.

2 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação JO 2018, L 127, p. 2, a seguir «RGPD»).

3 Na aceção dos artigos 51.° a 59.° do RGPD.

4 Consagrada no artigo 4.°, n.° 3, TUE.

5 Na aceção do artigo 102.° TFUE.

6 Referidas no artigo 9.°, n.° 1, do RGPD. Esta disposição prevê que «[é] proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa».

7 Esse tratamento consiste na recolha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados provenientes da consulta desses sítios e dessas aplicações bem como dos dados inseridos pelo utilizador, no cruzamento do conjunto desses dados com a conta da rede social desse utilizador e na utilização dos referidos dados por esse operador.

8 Previstas no artigo 9.°, n.° 2, do RGPD. Esta disposição prevê: «O disposto no n.° 1 não se aplica se se verificar um dos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado‑Membro previr que a proibição a que se refere o n.° 1 não pode ser anulada pelo titular dos dados;

e) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

f) Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da suas função jurisdicional;

[…]».

9 Na aceção do artigo 9.°, n.° 2, alínea e), do RGPD.

10 Nos termos do artigo 6.°, n.° 1, primeiro parágrafo, alínea a), do RGPD.

11 Mencionados no artigo 6.°, n.° 1, primeiro parágrafo, alíneas b) a f), do RGPD. Ao abrigo dessas disposições, o tratamento só é lícito se e na medida em que seja, nomeadamente, necessário para a execução de um contrato do qual os titulares de dados são partes [artigo 6.°, n.° 1, primeiro parágrafo, alínea b), do RGPD], para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento está sujeito [artigo 6.°, n.° 1, primeiro parágrafo, alínea c), do RGPD] ou para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro [artigo 6.°, n.° 1, primeiro parágrafo, alínea f), do RGPD].

12 Por força do artigo 7.°, n.° 1, do RGPD.