ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quinta Secção)
8 de dezembro de 2022 ( *1 )
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigos 2.o, 4.o e 6.o — Aplicabilidade do Regulamento 2016/679 — Conceito de “interesse legítimo” — Conceito de “funções de interesse público [ou] exercício da autoridade pública” — Diretiva (UE) 2016/680 — Artigos 1.o, 3.o, 4.o, 6.o e 9.o — Licitude do tratamento de dados pessoais recolhidos no âmbito de um inquérito penal — Tratamento posterior de dados relativos à presumível vítima de uma infração penal para efeitos da sua acusação — Conceito de “finalidade diferente daquela para a qual os dados foram recolhidos” — Dados utilizados pelo Ministério Público de um Estado‑Membro para efeitos da sua defesa no âmbito de uma ação de responsabilidade do Estado»
No processo C‑180/21,
que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pelo Administrativen sad — Blagoevgrad (Tribunal Administrativo de Blagoevgrad, Bulgária), por Decisão de 19 de março de 2021, que deu entrada no Tribunal de Justiça em 23 de março de 2021, no processo
VS
contra
Inspektor v Inspektorata kam Visshia sadeben savet,
sendo interveniente:
Teritorialno otdelenie — Petrich kam Rayonna prokuratura — Blagoevgrad,
O TRIBUNAL DE JUSTIÇA (Quinta Secção),
composto por: E. Regan, presidente de Secção, D. Gratsias (relator), M. Ilešič, I. Jarukaitis, e Z. Csehi, juízes,
advogado‑geral: M. Campos Sánchez‑Bordona,
secretário: A. Calot Escobar,
vistos os autos,
vistas as observações apresentadas:
– |
em representação de VS, por V. Harizanova, |
– |
em representação do Inspektor v Inspektorata kam Visshia sadeben savet, por S. Mulyachka, |
– |
em representação do Governo búlgaro, por M. Georgieva e T. Mitova, na qualidade de agentes, |
– |
em representação do Governo checo, por O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes, |
– |
em representação do Governo neerlandês, por M. K. Bulterman e J. M. Hoogveld, na qualidade de agentes, |
– |
em representação da Comissão Europeia, por H. Kranenborg e I. Zaloguin, na qualidade de agentes, |
ouvidas as conclusões do advogado‑geral na audiência de 19 de maio de 2022,
profere o presente
Acórdão
1 |
O pedido de decisão prejudicial tem por objeto a interpretação do artigo 1.o, n.o 1, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89), bem como do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»), em especial o seu artigo 6.o, n.o 1. |
2 |
Este pedido foi apresentado no âmbito de um litígio que opõe VS ao Inspektor v Inspektorata kam Visshia sadeben savet (inspetor dos Serviços de Inspeção do Conselho Superior da Magistratura, Bulgária) (a seguir «IVSS»), a respeito da legalidade do tratamento dos seus dados pessoais, efetuado pelo Ministério Público da região de Petrich (Bulgária). |
Quadro jurídico
Direito da União
RGPD
3 |
Os considerandos 19, 45 e 47 do RGPD enunciam:
[…]
[…]
|
4 |
O artigo 2.o do RGPD, sob a epígrafe «Âmbito de aplicação material», dispõe, nos seus n.os 1 e 2: «1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados. 2. O presente regulamento não se aplica ao tratamento de dados pessoais:
[…]
|
5 |
O artigo 4.o do RGPD, sob a epígrafe «Definições», dispõe: «Para efeitos do presente regulamento, entende‑se por:
[…]
[…]» |
6 |
O artigo 5.o do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe, no seu n.o 1: «Os dados pessoais são: […]
[…]» |
7 |
Nos termos do artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento»: «1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: […]
[…]
O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica. […] 3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:
A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. […]» |
8 |
O artigo 21.o do RGPD, sob a epígrafe «Direito de oposição», prevê, no seu n.o 1: «O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f) […]. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.» |
9 |
O artigo 23.o do RGPD, sob a epígrafe «Limitações», enuncia, no seu n.o 1, que o direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar, por medida legislativa, o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente, certos objetivos importantes do interesse público geral da União ou de um Estado‑Membro. |
Diretiva 2016/680
10 |
Os considerandos 8 a 12, 27 e 29 da Diretiva 2016/680 enunciam:
[…]
[…]
|
11 |
O artigo 1.o desta diretiva, sob a epígrafe «Objeto e objetivos», dispõe, no seu n.o 1: «A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.» |
12 |
As definições dos termos «dados pessoais» e «tratamento», que figuram, respetivamente, nos n.os 1 e 2 do artigo 3.o da referida diretiva, sob a epígrafe «Definições», reproduzem as enunciadas nos pontos 1 e 2 do artigo 4.o do RGPD. |
13 |
Nos termos do artigo 3.o, n.o 7, alínea a), e n.o 8, da Diretiva 2016/680: «Para efeitos da presente diretiva, entende‑se por: […] 7. “Autoridade competente”:
[…] 8. “Responsável pelo tratamento”, a autoridade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou pelo direito de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro». |
14 |
O artigo 4.o da Diretiva 2016/680, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», enuncia, no seu n.o 1: «Os Estados‑Membros preveem que os dados pessoais sejam: […]
[…]» |
15 |
O artigo 4.o, n.o 2, da Diretiva 2016/680 dispõe: «É permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:
|
16 |
Nos termos do artigo 6.o da Diretiva 2016/680, sob a epígrafe «Distinção entre diferentes categorias de titulares de dados»: «Os Estados‑Membros preveem que o responsável pelo tratamento estabeleça, se aplicável, e na medida do possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:
[…]» |
17 |
O artigo 9.o da Diretiva 2016/680, sob a epígrafe «Condições específicas do tratamento», dispõe, nos seus n.os 1 e 2: «1. Os dados pessoais recolhidos pelas autoridades competentes para os fins do artigo 1.o, n.o 1, não podem ser tratados para fins diferentes dos previstos no artigo 1.o, n.o 1, a não ser que esse tratamento seja autorizado pelo direito da União ou de um Estado‑Membro. Caso os dados pessoais sejam tratados para esses outros fins, é aplicável o [RGPD], salvo se tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União. 2. Caso o direito dos Estados‑Membros confie às autoridades competentes o exercício de atribuições diferentes das exercidas para os fins do artigo 1.o, n.o 1, o [RGPD] é aplicável ao tratamento para esses fins, […] salvo se o tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União.» |
Direito búlgaro
Constituição da República da Bulgária
18 |
O artigo 127.o da Constituição da República da Bulgária dispõe: «O Ministério Público assegura o respeito das leis, nos seguintes termos: 1. Dirige o inquérito e fiscaliza a legalidade da sua tramitação; 2. Pode abrir um inquérito; 3. Imputa a responsabilidade das infrações às pessoas que as cometeram e promove a acusação em processos penais em caso de crimes públicos; […]» |
ZZLD
19 |
Em conformidade com o seu artigo 1.o, a Zakon za zashtita na lichnite danni (Lei da Proteção de Dados Pessoais) (DV n.o 1, de 4 de janeiro de 2002, a seguir «ZZLD») visa assegurar a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais regido pelo RGPD, bem como no que respeita ao tratamento desses dados efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança e à ordem públicas. |
20 |
Em conformidade com o artigo 17.o, n.o 1, da ZZLD, a IVSS assegura o controlo e o cumprimento do RGPD, da ZZLD e dos atos em matéria de proteção de dados pessoais no que diz respeito ao tratamento desses dados, nomeadamente, pelo Ministério Público e pelas autoridades de investigação no exercício das suas funções de autoridades judiciárias para efeitos de prevenção, deteção, instrução ou repressão de infrações penais ou da execução de sanções penais. O artigo 38.o‑B da ZZLD confere à pessoa em causa, em caso de violação dos seus direitos, nomeadamente por essas autoridades, o direito de interpor recurso para a IVSS. |
21 |
O artigo 42.o, n.os 2 e 3, o artigo 45.o, n.o 2, e o artigo 47.o da ZZLD aplicam as disposições, respetivamente, do artigo 9.o, n.os 1 e 2, do artigo 4.o, n.o 2, e do artigo 6.o da Diretiva 2016/680. |
Código de Processo Penal
22 |
O artigo 191.o do Nakazatelno‑protsesualen kodeks (Código de Processo Penal) (DV n.o 86, de 28 de outubro de 2005), na versão aplicável ao litígio no processo principal, dispõe: «É aberto um inquérito em processos por crimes públicos.» |
23 |
O artigo 192.o do Código de Processo Penal, na versão aplicável ao litígio no processo principal, dispõe: «A instrução do processo compreende um inquérito e os atos do procurador após o encerramento do inquérito.» |
Código de Processo Civil
24 |
Os artigos 8.o e 9.o do Grazhdanski protsesualen kodeks (Código de Processo Civil) (DV n.o 59, de 20 de julho de 2007), na versão aplicável ao litígio no processo principal, aplicam, respetivamente, os princípios do contraditório e da igualdade de armas. |
25 |
O artigo 154.o do Código de Processo Civil, na versão aplicável ao litígio no processo principal, sob a epígrafe «Ónus da prova», prevê, no seu n.o 1: «Cada parte deve apurar os factos em que baseia as suas conclusões ou objeções.» |
Zakon za otgovornostta na darzhavata i obshtinite za vredi
26 |
O artigo 2‑B da Zakon za otgovornostta na darzhavata i obshtinite za vredi (Lei relativa à Responsabilidade Estatal e Municipal por Danos) (DV n.o 60, de 5 de agosto de 1988), dispõe: «(1) O Estado deve responder pelos danos causados aos cidadãos e às pessoas coletivas por violação do direito a que o processo seja apreciado e julgado num prazo razoável nos termos do artigo 6.o, n.o 1, da Convenção [Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma, em 4 de novembro de 1950]. (2) As ações referidas no n.o 1 são examinadas em conformidade com o Código de Processo Civil, tendo em conta a duração total e o objeto do processo, a sua complexidade de facto e de direito, o comportamento das partes e os seus representantes processuais ou legais, o comportamento das outras partes no processo e as autoridades competentes, bem como outros factos pertinentes para a solução correta do litígio. […]» |
Litígio no processo principal e questões prejudiciais
27 |
Em 2013, o Ministério Público da região de Petrich deu início ao processo de inquérito n.o 252/2013 contra um autor desconhecido, pela prática de uma infração prevista no artigo 325.o, n.o 1, do Nakazatelen Kodeks (Código Penal), em conjugação com o seu artigo 20.o, n.o 2, no âmbito de um incidente ocorrido num bar. O demandante no processo principal, VS, participou neste processo como vítima desta infração. |
28 |
Em 2016, na sequência de várias denúncias relativas, nomeadamente, a VS, o Ministério Público da região de Petrich reuniu em vários volumes informações relativas a essa pessoa, sem, contudo, dar início a um processo de inquérito por falta de indícios da prática de uma infração. |
29 |
Em 2018, no âmbito do processo de inquérito n.o 252/2013, o procurador deduziu acusação contra todas as pessoas que participaram no incidente objeto desse processo, incluindo VS. |
30 |
No âmbito de um processo cível, VS intentou no Okrazhen sad Blagoevgrad (Tribunal Regional de Blagoevgrad, Bulgária) uma ação contra o Ministério Público da República da Bulgária destinada à reparação do alegado prejuízo resultante da duração excessiva do processo de inquérito n.o 252/2013. Na audiência de 15 de outubro de 2018, para assegurar a defesa do referido Ministério Público, um procurador do Ministério Público da região de Petrich, representante do Ministério Público, pediu que os volumes coligidos por este Ministério Público em 2016, mencionados no n.o 28 do presente acórdão, fossem apresentados no âmbito da referida ação. Resulta da decisão de reenvio que este procurador pretendia assim demonstrar que os problemas de saúde alegados pelo demandante no processo principal não eram, como este último afirmava, imputáveis ao referido processo de inquérito, mas tinham sido causados pelos controlos efetuados pela polícia e pelo Ministério Público da região de Petrich no âmbito dos referidos volumes. Nessa audiência, o Okrazhen sad Blagoevgrad (Tribunal Regional de Blagoevgrad) ordenou ao referido Ministério Público daquela região que apresentasse cópias autenticadas dos documentos contidos nos volumes em causa, a que o procurador acedeu. |
31 |
Em 12 de março de 2020, VS apresentou uma denúncia na IVSS, invocando a violação, pelo Ministério Público da região de Petrich, das disposições relativas à proteção dos dados pessoais. Por um lado, como primeiro fundamento, alegou que esse Ministério Público tinha utilizado ilegalmente os seus dados pessoais, que tinham sido recolhidos quando foi considerado vítima de uma infração, para efeitos de procedimento penal no âmbito do mesmo processo e pelos mesmos factos. Por outro lado, como segundo fundamento, invocou a ilegalidade do tratamento dos dados pessoais recolhidos no âmbito dos volumes mencionados no n.o 28 do presente acórdão, a que esse mesmo Ministério Público tinha procedido no âmbito da ação de responsabilidade que tinha intentado contra o Ministério Público da República da Bulgária. Por Decisão de 22 de junho de 2020, a IVSS indeferiu a denúncia. |
32 |
Em 31 de julho de 2020, VS impugnou, no órgão jurisdicional de reenvio, essa decisão, na qual alega, por um lado, que o tratamento dos dados pessoais que lhe dizem respeito no âmbito do processo de inquérito n.o 252/2013 está em contradição, nomeadamente, com os princípios da Diretiva 2016/680 e, por outro, que o tratamento dos dados recolhidos no âmbito dos volumes referidos no n.o 28 do presente acórdão, após o Ministério Público ter recusado abrir um processo de inquérito, viola os princípios do RGPD. |
33 |
Considerando, à luz da jurisprudência do Tribunal de Justiça, que o litígio no processo principal diz respeito ao tratamento de dados pessoais no âmbito de atividades abrangidas pelo âmbito de aplicação do RGPD e da Diretiva 2016/680, o órgão jurisdicional de reenvio interroga‑se sobre os limites fixados pelo direito da União no que respeita ao tratamento posterior de dados pessoais que foram recolhidos pelo responsável pelo tratamento inicialmente para efeitos da investigação e da deteção de uma infração penal. |
34 |
Em especial, por um lado, o órgão jurisdicional de reenvio pergunta se, no caso de o Ministério Público da República da Bulgária, enquanto «autoridade competente», na aceção do artigo 3.o, n.o 7, alínea a), da Diretiva 2016/680, e enquanto «responsável pelo tratamento», na aceção do artigo 3.o, n.o 8, desta diretiva, ter recolhido, para efeitos de investigação e de deteção de uma infração penal, dados pessoais relativos a uma pessoa considerada vítima da referida infração no momento dessa recolha, o tratamento ulterior desses dados pela mesma autoridade para efeitos de procedimento criminal contra essa pessoa corresponde a uma finalidade abrangida pela referida diretiva, mas diferente daquela para a qual os dados foram recolhidos, na aceção do seu artigo 4.o, n.o 2. |
35 |
Por outro lado, o órgão jurisdicional de reenvio constata que a referência, no âmbito da ação por responsabilidade intentada por VS, às informações relativas a essa pessoa contidas nos volumes coligidos pelo Ministério Público da região de Petrich em 2016 prossegue uma finalidade diferente daquela para a qual essas informações foram recolhidas e salienta que, no âmbito dessa ação, o Ministério Público, na qualidade de demandado, não atua para fins de prevenção, investigação, deteção ou repressão de infrações penais. No entanto, o órgão jurisdicional de reenvio interroga‑se quanto à questão de saber se o simples facto de indicar ao órgão jurisdicional cível competente que os referidos volumes dizem respeito a VS e de lhe transmitir toda ou parte dessas informações constituem «tratamento[s]» de «dados pessoais», na aceção do artigo 4.o, pontos 1 e 2, do RGPD, abrangidos pelo âmbito de aplicação deste último, em conformidade com o seu artigo 2.o, n.o 1. |
36 |
Por outro lado, o órgão jurisdicional de reenvio considera, em substância, que o litígio no processo principal suscita a questão da conciliação entre a proteção dos dados pessoais e os direitos de uma parte num processo judicial, quando esses dados foram recolhidos por essa parte, enquanto responsável pelo tratamento, na aceção do artigo 3.o, n.o 8, da Diretiva 2016/680, em especial, à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, relativo à necessidade do tratamento para efeitos dos interesses legítimos prosseguidos por esse responsável. |
37 |
Com efeito, o órgão jurisdicional de reenvio considera que os outros motivos pelos quais um tratamento de dados pessoais abrangido pelo RGPD é considerado lícito, enunciados no artigo 6.o, n.o 1, primeiro parágrafo, deste regulamento, não são pertinentes no âmbito do litígio no processo principal. Em especial, considera que a prestação, pelo Ministério Público ao órgão jurisdicional competente, de informações relativas aos volumes que coligiu, para assegurar a sua defesa no âmbito de um processo cível, não é necessária ao exercício de funções de interesse público nem ao exercício da autoridade pública, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do referido regulamento. |
38 |
Nestas circunstâncias, o Administrativen sad — Blagoevgrad (Tribunal Administrativo de Blagoevgrad, Bulgária) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
|
Quanto às questões prejudiciais
Quanto à primeira questão
39 |
A título preliminar, importa salientar que, embora o órgão jurisdicional de reenvio tenha formalmente limitado a sua primeira questão à interpretação do artigo 1.o, n.o 1, da Diretiva 2016/680, tal circunstância não obsta a que o Tribunal de Justiça lhe forneça todos os elementos de interpretação que possam ser úteis para a decisão do processo principal, extraindo do conjunto dos elementos fornecidos por esse órgão jurisdicional, designadamente da fundamentação da decisão de reenvio, os elementos do direito da União que requerem uma interpretação, tendo em conta o objeto do litígio (v., neste sentido, Acórdão de 22 de abril de 2021, Profi Credit Slovakia, C‑485/19, EU:C:2021:313, n.o 50 e jurisprudência referida). |
40 |
Daqui resulta que, com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber, em substância, se o artigo 1.o, n.o 1, da Diretiva 2016/680, em conjugação com o seu artigo 4.o, n.o 2, e com o seu artigo 6.o, deve ser interpretado no sentido de que um tratamento de dados pessoais prossegue uma finalidade diferente daquela para a qual esses dados foram recolhidos, quando a recolha desses dados foi efetuada para efeitos de deteção de uma infração penal e de investigação desta, e a pessoa em causa era, no momento dessa recolha, considerada vítima, ao passo que o referido tratamento é efetuado com o objetivo de proceder criminalmente contra essa pessoa no termo do inquérito penal em questão e, consoante o caso, se esse tratamento é permitido. |
41 |
Segundo jurisprudência constante, para a interpretação de uma disposição do direito da União, há que ter em conta não só os seus termos mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que faz parte. A génese de uma disposição do direito da União pode igualmente revelar elementos pertinentes para a sua interpretação (v., neste sentido, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 48 e jurisprudência referida). |
42 |
Em primeiro lugar, importa por salientar, antes de mais, que a redação do artigo 1.o, n.o 1, da Diretiva 2016/680, relativa ao seu objeto, distingue expressamente diferentes categorias de atividades para as quais um tratamento de dados pessoais pode ser utilizado. A este respeito, resulta das diferentes versões linguísticas da referida disposição, nomeadamente nas línguas búlgara, espanhola, alemã, grega, inglesa e italiana, que as diferentes finalidades previstas neste artigo 1.o, n.o 1, correspondem, respetivamente, à «prevenção» de infrações penais, à sua «deteção», à «investigação», à «repressão» dessas infrações e à «execução de sanções penais», à «salvaguarda» de «ameaças à segurança pública» e à «prevenção» dessas ameaças. |
43 |
Em seguida, a redação do artigo 4.o, n.o 2, desta diretiva, que enuncia que o tratamento para «as finalidades previstas no [seu] artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos» é permitido, sob reserva do cumprimento dos requisitos enunciados nesta disposição, confirma expressamente que os termos enumerados nesse artigo 1.o, n.o 1, a saber, «prevenção», «deteção», «investigação», «repressão», «execução de sanções penais», «salvaguarda contra as ameaças à segurança pública» e «prevenção de ameaças» visam uma pluralidade de finalidades distintas do tratamento de dados pessoais abrangidos pelo âmbito de aplicação da mesma diretiva. |
44 |
Deduz‑se, assim, dos próprios termos do artigo 1.o, n.o 1, da referida diretiva, em conjugação com o seu artigo 4.o, n.o 2, que, quando os dados pessoais foram recolhidos para efeitos da «deteção» de uma infração penal e de «investigação» sobre esta e tratados posteriormente para efeitos de «repressão», a referida recolha e o referido tratamento respondem a finalidades diferentes. |
45 |
Por último, importa observar que, nos termos do artigo 6.o da mesma diretiva, os Estados‑Membros têm a obrigação de prever que o responsável pelo tratamento estabeleça, se aplicável, e na medida do possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como, nomeadamente, as mencionadas nas alíneas a), b) e c) deste artigo, a saber, respetivamente, as pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal, as pessoas condenadas por uma infração penal e as vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal. |
46 |
Por conseguinte, uma pessoa cujos dados pessoais são tratados para efeitos de procedimento criminal deve ser considerada abrangida pela categoria das pessoas relativamente às quais existem motivos sérios que levam a crer que cometeram uma infração penal, na aceção da alínea a) do artigo 6.o da Diretiva 2016/680. Daqui resulta que, como na hipótese referida na primeira questão, embora essa pessoa tenha sido inicialmente considerada vítima de uma infração penal, na aceção da alínea c) do artigo 6.o desta diretiva, o referido tratamento reflete uma alteração da categoria dessa pessoa, o que cabe ao responsável pelo tratamento ter em conta devido à exigência de distinção clara entre os dados das diferentes categorias de pessoas, enunciada neste artigo. |
47 |
No entanto, há que constatar que nem o artigo 1.o, n.o 1, da Diretiva 2016/680, nem o seu artigo 4.o, n.o 2, se referem ao artigo 6.o desta diretiva ou ao seu conteúdo para determinar a finalidade de um tratamento de dados pessoais abrangido pelo âmbito de aplicação da referida diretiva. |
48 |
De resto, como o advogado‑geral salientou, em substância, no n.o 62 das conclusões, a expressão «se aplicável e na medida do possível», utilizada no artigo 6.o da Diretiva 2016/680, indica nitidamente que não é necessariamente possível fazer uma distinção clara entre esses dados, nomeadamente quando, como no caso em apreço, estes são recolhidos para efeitos de uma «investigação» ou para efeitos de «deteção» de uma infração penal, quando uma mesma pessoa possa ser abrangida pelas várias categorias de pessoas referidas no artigo 6.o desta diretiva e a determinação das categorias em causa seja suscetível de evoluir no decurso do inquérito, em função da elucidação progressiva dos factos em questão. |
49 |
Daqui se deve deduzir que este artigo 6.o fixa uma obrigação distinta da prevista no referido artigo 4.o, n.o 2, e que, à semelhança do advogado‑geral nos n.os 61 a 64 das conclusões, a referida obrigação não é pertinente para determinar se um tratamento de dados pessoais prossegue uma finalidade diferente daquela para a qual esses dados foram recolhidos, na aceção desta última disposição. |
50 |
Em segundo lugar, quanto ao contexto da regulamentação em causa, há que salientar que o artigo 4.o, n.o 1, alíneas b) e c), da Diretiva 2016/680 dispõe, por um lado, que os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, e não ser tratados de modo incompatível com essas finalidades e, por outro, que esses dados devem ser adequados, pertinentes e não excessivos relativamente às finalidades para as quais são tratados. Estes dois requisitos são enunciados, em substância, nos mesmos termos no artigo 5.o, n.o 1, alíneas b) e c), do RGPD, que especifica que estes correspondem, respetivamente, aos princípios de limitação das finalidades e de minimização dos dados. |
51 |
No entanto, há que observar, à luz do considerando 29 desta diretiva, que o seu artigo 4.o, n.o 2, permite um tratamento ulterior de dados pessoais para uma finalidade diferente daquela para a qual esses dados foram recolhidos, uma vez que esta finalidade figura entre as enunciadas no artigo 1.o, n.o 1, da mesma diretiva e que esse tratamento preenche os dois requisitos previstos nesse artigo 4.o, n.o 2, alíneas a) e b). Por um lado, o responsável pelo tratamento deve ser autorizado a tratar os referidos dados pessoais com essa finalidade, nos termos do direito da União ou dos Estados‑Membros. Por outro lado, o tratamento deve ser necessário e proporcionado a esta outra finalidade. |
52 |
Em especial, os dados pessoais recolhidos para efeitos de «prevenção» e de «deteção» das infrações penais ou de «investigação» relativos a tais infrações podem ser ulteriormente tratados, se for caso disso, por autoridades competentes diferentes, com vista à «repressão» ou à «execução de sanções penais», quando uma infração penal tenha sido identificada e exija, por conseguinte, uma ação repressiva. |
53 |
No entanto, no âmbito da recolha de dados pessoais para efeitos de «deteção» de infrações penais e da sua «investigação», as autoridades competentes são levadas a recolher qualquer dado potencialmente pertinente para a determinação dos factos constitutivos da infração penal em causa numa fase em que estes ainda não foram provados. Em contrapartida, no âmbito do tratamento de dados pessoais para efeitos de «repressão», estes dados visam demonstrar o caráter suficientemente probatório dos factos imputados aos acusados e a exatidão da qualificação penal desses factos, com vista a permitir ao órgão jurisdicional competente decidir. |
54 |
Assim, por um lado, os dados pessoais necessários para a «deteção» de uma infração penal e sua «investigação» não o serão sistematicamente para efeitos de «repressão». Por outro lado, as consequências do tratamento de dados pessoais para as pessoas em causa são suscetíveis de ser substancialmente diferentes, no que respeita, em especial, ao grau de ingerência no seu direito à proteção desses dados e aos efeitos desse tratamento na sua situação jurídica no âmbito do processo penal em questão. |
55 |
Além disso, há que salientar que o âmbito de aplicação do referido artigo 4.o, n.o 2, não se limita aos tratamentos de dados pessoais efetuados relacionados com a mesma infração penal que justificou a recolha desses mesmos dados. Com efeito, como refere o considerando 27 da Diretiva 2016/680, esta tem em conta a necessidade de as autoridades competentes em matéria de luta contra as infrações penais tratarem dados pessoais para uma finalidade diferente da que conduziu à recolha desses dados, nomeadamente com o objetivo de obter uma melhor compreensão das atividades criminosas e de estabelecer ligações entre as diferentes infrações penais detetadas. |
56 |
Resulta do que precede que, para cumprir os requisitos previstos no artigo 4.o, n.o 2, alíneas a) e b), da Diretiva 2016/680, a apreciação do seu cumprimento por um tratamento de dados pessoais, pelo mesmo ou por outro responsável pelo tratamento, para uma das finalidades enunciadas no artigo 1.o, n.o 1, diferente daquela para a qual foram recolhidos, deve ser realizada tendo em consideração cada uma das finalidades referidas nesse artigo 1.o, n.o 1, sendo específica e distinta. |
57 |
Em terceiro lugar, quanto aos objetivos da regulamentação em causa, há que salientar que, como resulta dos considerandos 10 e 11 da Diretiva 2016/680, o legislador da União pretendeu adotar regras que têm em conta a natureza específica do domínio abrangido por esta diretiva. |
58 |
A este respeito, o considerando 12 enuncia que as funções de polícia ou de outras autoridades de aplicação da lei se centram principalmente na prevenção, investigação, deteção ou repressão de infrações penais, incluindo as atividades policiais efetuadas sem saber previamente se um incidente constitui ou não uma infração penal. |
59 |
Daqui decorre que o legislador da União pretendeu adotar regras correspondentes às especificidades que caracterizam as funções exercidas pelas autoridades competentes no domínio regulado por esta diretiva, tendo em conta o facto de constituírem funções distintas que prosseguem finalidades que lhes são próprias. |
60 |
Esta interpretação, à luz do contexto da disposição em causa e dos objetivos prosseguidos pela regulamentação de que faz parte, é corroborada pela sua génese, em especial pela Nota justificativa do Conselho relativa à Posição (UE) n.o 5/2016 do Conselho em primeira leitura tendo em vista a adoção da Diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, C 158, p. 46). Com efeito, nesta nota justificativa, o Conselho justifica a introdução da referida disposição na Diretiva 2016/680 indicando que esta «permite, por exemplo, que o Ministério Público possa tratar os mesmos dados pessoais para a repressão de um crime que os que foram tratados pela polícia para a deteção desse crime, uma vez que ambos os fins ilustrados estão abrangidos pelo artigo 1.o, n.o 1[, desta diretiva]». |
61 |
Por conseguinte, cabe ao órgão jurisdicional de reenvio determinar, para a resolução do litígio no processo principal, se o tratamento dos dados pessoais relativos a VS, efetuado pelo Ministério Público da região de Petrich com o objetivo de proceder criminalmente contra essa pessoa, podia ser autorizado à luz dos requisitos do artigo 4.o, n.o 2, da Diretiva 2016/680, verificando se, por um lado, o direito penal búlgaro permitia a essa autoridade proceder a esse tratamento e se, por outro, este era necessário e proporcionado à finalidade a que obedecia. |
62 |
A este respeito, há que salientar que, para apreciar o caráter necessário e proporcionado desse tratamento, o órgão jurisdicional de reenvio poderá, se for caso disso, ter em conta o facto de que a autoridade responsável por esses processos deve poder basear‑se nos dados recolhidos no decurso do inquérito como prova dos factos constitutivos da infração, nomeadamente, os relativos às pessoas envolvidas na mesma, desde que esses dados sejam necessários para a sua identificação e para a determinação da sua implicação. |
63 |
Tendo em conta tudo o que precede, há que responder à primeira questão que o artigo 1.o, n.o 1, da Diretiva 2016/680, em conjugação com o seu artigo 4.o, n.o 2, e com o seu artigo 6.o, deve ser interpretado no sentido de que um tratamento de dados pessoais prossegue uma finalidade diferente daquela para a qual esses dados foram recolhidos quando a recolha desses dados foi efetuada para efeitos da deteção de uma infração penal e da investigação desta, ao passo que o referido tratamento é efetuado com o objetivo de proceder criminalmente contra uma pessoa na fase do encerramento do inquérito penal em questão, independentemente do facto de essa pessoa ter sido considerada vítima no momento da referida recolha, e que esse tratamento é permitido ao abrigo do artigo 4.o, n.o 2, desta diretiva, desde que preencha os requisitos previstos nesta disposição. |
Quanto à segunda questão
64 |
Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, por um lado, se o artigo 3.o, n.o 8, e o artigo 9.o, n.os 1 e 2, da Diretiva 2016/680, bem como o artigo 2.o, n.os 1 e 2, do RGPD devem ser interpretados no sentido de que este regulamento é aplicável aos tratamentos de dados pessoais efetuados pelo Ministério Público de um Estado‑Membro, para efeitos do exercício dos seus direitos de defesa no âmbito de uma ação de responsabilidade do Estado, no caso de informar o órgão jurisdicional competente da existência de volumes coligidos relativamente a uma pessoa singular parte nessa ação, abertos para os fins enunciados no artigo 1.o, n.o 1, desta diretiva, e de facultar esses volumes a esse órgão jurisdicional e, por outro, se, em caso afirmativo, o artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do referido regulamento deve ser interpretado no sentido de que esse tratamento de dados pessoais pode ser considerado lícito para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento, na aceção desta disposição. |
Quanto à admissibilidade
65 |
No âmbito das suas observações escritas, a IVSS põe em causa a admissibilidade da segunda questão pelo facto de esta ser colocada pelo órgão jurisdicional de reenvio no contexto da apreciação de um fundamento invocado por VS que tinha sido julgado inadmissível pela decisão que é objeto do litígio no processo principal, por ter decorrido o prazo legal para o invocar. |
66 |
Segundo jurisprudência constante, as questões relativas à interpretação do direito da União submetidas pelo juiz nacional no quadro regulamentar e factual que define sob a sua responsabilidade, e cuja exatidão não cabe ao Tribunal de Justiça verificar, gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação solicitada do direito da União não tem nenhuma relação com a realidade ou o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (v., neste sentido, Acórdão de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.o 50 e jurisprudência referida). |
67 |
No caso em apreço, há que salientar, como observou o advogado‑geral nos n.os 76 e 77 das suas conclusões, que a questão da admissibilidade dos fundamentos invocados por VS no âmbito da denúncia que apresentou à IVSS é inteiramente da competência do órgão jurisdicional de reenvio. Além disso, na decisão de reenvio, esse órgão jurisdicional indicou que considerava a segunda questão pertinente, apesar de a IVSS ter declarado a inadmissibilidade do fundamento mencionado no n.o 65 do presente acórdão. Em todo o caso, não compete ao Tribunal de Justiça reexaminar esta apreciação. |
68 |
Daqui decorre que a segunda questão é admissível. |
Quanto ao mérito
– Quanto à aplicação do RGPD ao tratamento de dados pessoais efetuado pelo Ministério Público de um Estado‑Membro para exercer os seus direitos de defesa no âmbito de uma ação de responsabilidade do Estado
69 |
Em primeiro lugar, há que determinar se a utilização, pelo Ministério Público de um Estado‑Membro, das informações relativas a uma pessoa singular que recolheu e a cujo tratamento procedeu para fins abrangidos pelo artigo 1.o, n.o 1, da Diretiva 2016/680, para exercer os seus direitos de defesa no âmbito de um processo cível, constitui um «tratamento» de «dados pessoais», na aceção do artigo 4.o, pontos 1 e 2, do RGPD. |
70 |
Antes de mais, importa recordar que constitui um «dado pessoal», na aceção do artigo 4.o, ponto 1, do RGPD, «[qualquer] informação relativa a uma pessoa singular identificada ou identificável», entendendo‑se que, segundo a jurisprudência, esta definição é aplicável quando, devido ao seu conteúdo, à sua finalidade e ao seu efeito, as informações em causa estejam relacionadas com uma pessoa determinada (v., neste sentido, Acórdão de 20 de dezembro de 2017, Nowak, C‑434/16, EU:C:2017:994, n.o 35). Por outro lado, nos termos do artigo 4.o, ponto 2, do RGPD, o conceito de «tratamento» é definido como «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados», tais como, nomeadamente, «a consulta», a «utilização», a «divulgação por transmissão», a «difusão» ou «qualquer outra forma de disponibilização». Estas definições refletem o objetivo do legislador da União de atribuir um sentido amplo a esses dois conceitos [v., neste sentido, Acórdãos de 20 de dezembro de 2017, Nowak, C‑434/16, EU:C:2017:994, n.o 34, e de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.o 35]. |
71 |
A este respeito, por um lado, o facto de o demandado num processo civil informar o órgão jurisdicional competente, mesmo que de modo sucinto, nos seus articulados ou na audiência, da abertura de volumes relativos à pessoa singular que intentou a ação, nomeadamente para efeitos de «deteção» de uma infração penal ou de «investigação» em matéria penal, implica que esse demandado «consultou», «utilizou» e «transmitiu» ou «divulgou»«dados pessoais», na aceção do artigo 4.o, pontos 1 e 2, do RGPD. Assim, tanto pelo seu conteúdo como pela sua finalidade e pelo seu efeito, essas informações estão ligadas a uma determinada pessoa, identificável tanto pela parte que as divulgou como pelo órgão jurisdicional ao qual são transmitidas. |
72 |
Por outro lado, o facto de esse demandado apresentar, a pedido do órgão jurisdicional competente, os volumes dos processos que dizem respeito à referida pessoa singular implica, pelo menos, a «utilização» e a «divulgação por transmissão» de «dados pessoais», na aceção do artigo 4.o, pontos 1 e 2, do RGPD. |
73 |
Em segundo lugar, importa recordar que o artigo 2.o, n.o 1, do RGPD define de modo amplo o âmbito de aplicação material deste regulamento [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 61], que inclui qualquer «tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como [o] tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados». O corolário desta definição ampla é que as exceções à aplicação do RGPD, enumeradas no n.o 2 do seu artigo 2.o, devem ser objeto de interpretação estrita. Esse é, em especial, o caso da exceção prevista no n.o 2, alínea d), deste artigo, que se refere ao tratamento de dados pessoais efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.os 40 e 41 e jurisprudência referida]. |
74 |
A este respeito, o Tribunal de Justiça já declarou, como resulta do considerando 19 do referido regulamento, que esta exceção é motivada pelo facto de o tratamento de dados pessoais efetuado pelas autoridades competentes para os efeitos enunciados no artigo 2.o, n.o 2, alínea d), do RGPD ser regulado por um ato mais específico da União, a saber, a Diretiva 2016/680, que foi adotada no mesmo dia que o RGPD [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.o 42 e jurisprudência referida]. |
75 |
Como se deduz do considerando 12 da Diretiva 2016/680, o legislador da União previu, no artigo 9.o desta diretiva, regras relativas ao tratamento de dados pessoais para fins diferentes dos enunciados no artigo 1.o, n.o 1, da referida diretiva, para os quais esses dados foram recolhidos. |
76 |
A este respeito, o artigo 9.o, n.o 1, da Diretiva 2016/680 prevê, por um lado, que esse tratamento de dados pessoais não pode, em princípio, ser efetuado, a não ser que seja autorizado pelo direito da União ou pelo direito de um Estado‑Membro e, por outro, que o RGPD é aplicável a esse tratamento, salvo se for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União. Por outro lado, nos termos do artigo 9.o, n.o 2, desta diretiva, a menos que o tratamento seja efetuado no âmbito dessa atividade, o RGPD é aplicável ao tratamento efetuado pelas autoridades competentes no âmbito das suas funções diferentes das executadas para os fins enunciados no artigo 1.o, n.o 1, da referida diretiva. |
77 |
Ora, nos casos referidos nos n.os 71 e 72 do presente acórdão, a recolha e o tratamento de dados pessoais, pelo Ministério Público de um Estado‑Membro, para efeitos de «prevenção», de «deteção» de infrações penais, de «investigação» ou de «repressão» constituem seguramente tratamentos de dados pessoais para os fins enunciados no artigo 1.o, n.o 1, da Diretiva 2016/680, na aceção do artigo 9.o, n.os 1 e 2, desta diretiva. |
78 |
No entanto, ainda que a propositura de uma ação de responsabilidade do Estado tenha origem em alegados erros cometidos pelo Ministério Público no âmbito de um processo penal, como, no caso em apreço, alegadas violações do direito a ser julgado num prazo razoável, a defesa do Estado no âmbito de tal ação não tem por objetivo assegurar, enquanto tais, as funções que incumbem a esse Ministério Público para os fins enunciados no artigo 1.o, n.o 1, da Diretiva 2016/680. |
79 |
Além disso, tendo em conta o princípio da interpretação estrita das exceções à aplicação do RGPD, não se pode considerar que esses mesmos tratamentos de dados pessoais sejam efetuados «no âmbito de uma atividade não sujeita à aplicação do direito da União», na aceção do artigo 2.o, n.o 2, alínea a), do RGPD e do artigo 9.o, n.os 1 e 2, da Diretiva 2016/680. A este respeito, resulta da jurisprudência que esta expressão tem como único objetivo excluir do âmbito de aplicação do RGPD os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que possa ser classificada na mesma categoria. Ora, a participação de uma autoridade pública num processo civil como demandada no âmbito de uma ação de responsabilidade do Estado não visa preservar a segurança nacional nem pode ser classificada na mesma categoria de atividade [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.os 66 a 68 e jurisprudência referida]. |
80 |
Em terceiro lugar, há que salientar que, para efeitos da aplicação do RGPD aos tratamentos de dados referidos nos n.os 71 e 72 do presente acórdão, o Ministério Público deve ser considerado «responsável pelo tratamento», na aceção não só do artigo 4.o, ponto 7, do RGPD mas também do artigo 3.o, n.o 8, da Diretiva 2016/680, na medida em que «individualmente ou em conjunto com outras», «determina as finalidades e os meios» desses tratamentos, na aceção desta última disposição. Com efeito, é esta autoridade, enquanto parte no processo, que informa o órgão jurisdicional competente da existência de volumes com teor penal relativos à outra parte e que lhe envia esses volumes. A sua qualidade de «responsável pelo tratamento», à luz da definição ampla deste conceito, que visa assegurar uma proteção eficaz e completa das pessoas em causa, é independente do seu grau de envolvimento e do seu nível de responsabilidade, que podem ser diferentes do órgão jurisdicional competente, a quem cabe autorizar, ou mesmo ordenar, tais tratamentos (v., por analogia, Acórdão de 29 de julho de 2019, Fashion ID, C‑40/17, EU:C:2019:629, n.os 66 a 70). |
81 |
Ora, independentemente da questão de saber se os tratamentos de dados referidos no n.o 80 do presente acórdão estão abrangidos pelo n.o 1 ou pelo n.o 2 do artigo 9.o da Diretiva 2016/680, resulta da redação destes números e da sua articulação que o RGPD é aplicável a qualquer tratamento de dados pessoais recolhidos para os fins enunciados no artigo 1.o, n.o 1, desta diretiva, para fins diferentes daqueles, salvo se o tratamento em causa não estiver abrangido pelo direito da União, incluindo quando o «responsável pelo tratamento», na aceção do artigo 3.o, n.o 8, da referida diretiva, é uma «autoridade competente», na aceção do seu artigo 3.o, n.o 7, alínea a), e efetua o tratamento de dados pessoais no âmbito de funções diferentes das realizadas para os fins enunciados no artigo 1.o, n.o 1, da mesma diretiva. |
82 |
Tendo em conta o exposto, há que considerar que o RGPD é aplicável aos tratamentos de dados pessoais efetuados pelo Ministério Público de um Estado‑Membro, para exercer os seus direitos de defesa no âmbito de uma ação de responsabilidade do Estado, quando, por um lado, informa o órgão jurisdicional competente da existência de volumes relativos a uma pessoa singular parte nessa ação, instaurados para os fins enunciados no artigo 1.o, n.o 1, da Diretiva 2016/680 e, por outro, transmite esses volumes a esse órgão jurisdicional. |
– Quanto à licitude do tratamento de dados pessoais efetuado pelo Ministério Público de um Estado‑Membro, para exercer os seus direitos de defesa no âmbito de uma ação de responsabilidade do Estado
83 |
Importa recordar que o artigo 6.o do RGPD enumera, exaustivamente, os casos em que o tratamento de dados pessoais pode ser considerado lícito [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 99]. |
84 |
Entre esses casos, o artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD prevê o tratamento necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento e o artigo 6.o, n.o 1, primeiro parágrafo, alínea f), deste regulamento visa o tratamento necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Nos termos do artigo 6.o, n.o 1, segundo parágrafo, do referido regulamento, o seu artigo 6.o, n.o 1, primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições. |
85 |
Como a Comissão Europeia observou, com razão, nas suas observações escritas, importa salientar que resulta claramente da redação do artigo 6.o, n.o 1, segundo parágrafo, do RGPD que o tratamento de dados pessoais efetuado por uma autoridade pública no âmbito da prossecução das suas atribuições não pode ser abrangido pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, relativo aos tratamentos de dados pessoais necessários para os interesses legítimos do responsável pelo tratamento. Como resulta do considerando 47 do RGPD e como alegou a Comissão, esta última disposição não é aplicável a tais tratamentos de dados, uma vez que a base jurídica destes deve ser prevista pelo legislador. Daqui decorre que, quando o tratamento efetuado por uma autoridade pública seja necessário ao exercício de funções de interesse público e, por conseguinte, faça parte das funções mencionadas no artigo 6.o, n.o 1, segundo parágrafo, deste regulamento, a aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD e do seu artigo 6.o, n.o 1, primeiro parágrafo, alínea f), excluem‑se mutuamente. |
86 |
Por conseguinte, antes de abordar a questão da aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, importa determinar se o tratamento de dados pessoais, pelo Ministério Público de um Estado‑Membro, inicialmente recolhidos com vista a uma ou várias das finalidades enunciadas no artigo 1.o, n.o 1, da Diretiva 2016/680, para assegurar a defesa do Estado ou de um organismo público, no âmbito de uma ação de responsabilidade pelos danos causados pelo Estado ou por um organismo público no exercício das suas funções, é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), deste regulamento. |
87 |
Ora, como salientou o advogado‑geral, em substância, nos n.os 94 e 100 das suas conclusões, quando incumbe ao Ministério Público defender os interesses jurídicos e patrimoniais do Estado no âmbito de uma ação de responsabilidade que põe em causa as ações ou o comportamento dessa autoridade pública no âmbito das funções de interesse público que lhe são atribuídas em matéria penal, a defesa desses interesses pode constituir, nos termos do direito nacional, uma função de interesse público, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do referido regulamento. |
88 |
Com efeito, por um lado, através do exercício dos direitos processuais que lhe são atribuídos enquanto demandado, a referida autoridade pública preserva a segurança jurídica dos atos praticados e das decisões adotadas no interesse público, postos em causa pelo demandante. As suas tomadas de posição sobre os fundamentos e argumentos deste último são suscetíveis de evitar, se for caso disso, o risco de estes comprometerem a aplicação efetiva das regras que lhe incumbem no âmbito das funções cujo exercício culposo lhe é imputado. |
89 |
Por outro lado, através dos seus fundamentos e argumentos de defesa, a mesma autoridade pública pode salientar, quando for esse o caso, o caráter eventualmente infundado ou excessivo dos pedidos de indemnização do demandante, com vista, nomeadamente, a evitar que o exercício de funções de interesse público que é posto em causa no âmbito da ação de responsabilidade seja prejudicado pela perspetiva de ações de indemnização, quando essas funções sejam suscetíveis de violar os interesses dos particulares. |
90 |
A este respeito, no âmbito de uma ação de responsabilidade do Estado, é irrelevante o facto de o Ministério Público agir, na qualidade de demandado, em pé de igualdade com as outras partes, e não exercer prerrogativas de poder público, como é o caso no âmbito do exercício das suas funções em matéria penal. |
91 |
No caso em apreço, resulta da decisão de reenvio, bem como dos esclarecimentos prestados pelo Governo búlgaro em resposta às questões do Tribunal de Justiça, que a ação de responsabilidade, que está, em parte, na origem do litígio no processo principal, se baseia na lei da responsabilidade do Estado e dos Municípios pelos danos causados, mencionada no n.o 26 do presente acórdão, que institui um regime de responsabilidade do Estado pelos danos causados por uma violação do direito a que o processo seja apreciado e julgado num prazo razoável, e que, em conformidade com o artigo 7.o desta lei, é a autoridade cujos atos, ações ou omissões ilícitos causaram o dano presente no litígio e que se substitui, como tal, ao Estado em termos processuais. |
92 |
Assim, o papel da autoridade na origem do dano alegado no âmbito dessa ação de responsabilidade distingue‑se do do demandado no âmbito de uma ação de direito de regresso do Estado contra o funcionário público cuja responsabilidade pessoal é acionada devido aos incumprimentos cometidos no exercício das suas funções, uma vez que, nesta última hipótese, este papel visa a defesa de interesses privados (v., neste sentido, Acórdão de 18 de maio de 2021, Asociaţia Forumul Judecătorilor din România e o., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 e C‑397/19, EU:C:2021:393, n.o 225). |
93 |
Por conseguinte, tendo em conta as considerações precedentes, há que considerar que o tratamento de dados pessoais, pelo Ministério Público de um Estado‑Membro, inicialmente recolhidos e tratados com vista a uma ou várias das finalidades enunciadas no artigo 1.o, n.o 1, da Diretiva 2016/680, para assegurar a defesa do Estado, no âmbito de uma ação de responsabilidade pelos danos causados por esse Ministério Público no exercício das suas funções não é, em princípio, abrangido pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, mas antes do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD. |
94 |
Por outro lado, não se pode excluir que, quando o Ministério Público de um Estado‑Membro transmite dados pessoais ao órgão jurisdicional competente, a pedido deste, para assegurar a defesa do Estado no âmbito de uma ação de responsabilidade, essa transmissão seja igualmente suscetível de ser abrangida pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, quando, por força do direito nacional aplicável, o referido Ministério Público é obrigado a dar seguimento a esse pedido. |
95 |
Nestas condições, para demonstrar que tratamentos de dados pessoais como os que estão em causa no processo principal são abrangidos pelo âmbito de aplicação do disposto no artigo 6.o, n.o 1, primeiro parágrafo, do RGPD, cabe ao órgão jurisdicional de reenvio verificar se, em conformidade com o artigo 6.o, n.o 3, deste regulamento, o direito nacional define, por um lado, o fundamento desses tratamentos e, por outro, as finalidades destes últimos ou, no que respeita ao artigo 6.o, n.o 1, primeiro parágrafo, alínea e), se os referidos tratamentos são necessários ao exercício, pelo Ministério Público, das suas funções de interesse público. |
96 |
Por outro lado, cabe ao órgão jurisdicional de reenvio determinar se a divulgação, pelo Ministério Público, de informações relativas ao autor da ação de responsabilidade, contidas em volumes de processos diferentes do que está na origem dessa ação, preenche os requisitos previstos pelo RGPD, e, em especial, o princípio da «minimização dos dados», estabelecido no artigo 5.o, n.o 1, alínea c), do RGPD, segundo o qual os dados pessoais devem ser adequados, pertinentes e limitados ao necessário relativamente às finalidades para que são tratados e que dá expressão ao princípio da proporcionalidade [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 98]. Além disso, incumbe‑lhe verificar se esse tratamento de dados pessoais foi efetuado no respeito das garantias adequadas, em especial da possibilidade de comentar eficazmente as informações e os elementos de prova fornecidos neste âmbito pelo Ministério Público, mas também, em conformidade com o artigo 21.o, n.o 1, do RGPD, de se opor à comunicação dessas informações e desses elementos de prova ao órgão jurisdicional competente, sem prejuízo das limitações a esse direito de oposição previstas na legislação nacional, em conformidade com o artigo 23.o, n.o 1, deste regulamento. |
97 |
Atendendo a todas as considerações precedentes, há que responder à segunda questão que:
|
Quanto às despesas
98 |
Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis. |
Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara: |
|
|
|
Assinaturas |
( *1 ) Língua do processo: búlgaro.