1.

A Fashion ID GmbH & Co. KG é uma sociedade de venda a retalho em linha de artigos de moda. Integrou na sua página Web um plug‑in: o botão «Gosto» do Facebook. Consequentemente, quando um utilizador acede à página Web da Fashion ID, a informação sobre o endereço IP e a sequência do navegador desse utilizador é transferida para o Facebook. Esta transferência ocorre automaticamente quando a página Web da Fashion ID é carregada, independentemente de o utilizador ter acionado o botão «Gosto» e de ter ou não uma conta de Facebook.

2.

A Verbraucherzentrale NRW e.V., uma associação de defesa dos consumidores alemã, intentou uma ação inibitória contra a Fashion ID com o fundamento de que a utilização desse plug‑in viola a legislação em matéria de proteção de dados.

3.

O Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldorf, Alemanha), que conhece do litígio, pede a interpretação de várias disposições da Diretiva 95/46/CE (a seguir «Diretiva 95/46») ( 2 ). A título preliminar, o órgão jurisdicional de reenvio pergunta se esta diretiva permite que a legislação nacional reconheça legitimidade a uma associação de consumidores para intentar uma ação como a que está em causa no presente processo. Quanto ao mérito, a principal questão submetida consiste em saber se a Fashion ID deve ser qualificada de «responsável pelo tratamento» em relação ao tratamento de dados realizado e, em caso afirmativo, exatamente de que forma é que as obrigações individuais impostas pela Diretiva 95/46 devem ser cumpridas em tal situação. De quem são os interesses legítimos que devem ser considerados no exercício de ponderação exigido pelo artigo 7.o, alínea f), da Diretiva 95/46? Tem a Fashion ID a obrigação de informar as pessoas em causa acerca do tratamento dos dados? Cabe igualmente à Fashion ID o dever de recolher o consentimento informado das pessoas em causa a este respeito?

4.

O objetivo da Diretiva 95/46 está estabelecido no seu artigo 1.o O n.o 1 deste artigo tem a seguinte redação: «[o]s Estados‑Membros assegurarão […] a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais». Nos termos do n.o 2 da mesma disposição, «[o]s Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à proteção assegurada por força do n.o 1».

5.

O artigo 2.o inclui as seguintes definições:

[…]

[…]

6.

O artigo 7.o estabelece os princípios que devem ser respeitados relativamente à legitimidade do tratamento de dados:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

[…]

7.

O artigo 10.o estabelece a informação mínima que deve ser prestada à pessoa em causa:

«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

8.

O capítulo III da Diretiva 95/46 é relativo aos recursos judiciais, responsabilidade e sanções. Os artigos 22.o a 24.o que nele figuram estabelecem o seguinte:

«Artigo 22.o

Recursos

Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28.o, previamente a um recurso contencioso, os Estados‑Membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.

Artigo 23.o

Responsabilidade

1.   Os Estados‑Membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro ato incompatível com as disposições nacionais de execução da presente diretiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.

O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.

Artigo 24.o

Sanções

Os Estados‑Membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva e determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adotadas nos termos da presente diretiva.»

9.

O § 3, n.o 1, da Gesetz gegen den unlauteren Wettbewerb (Lei relativa à concorrência desleal) (a seguir «UWG») estabelece que as práticas comerciais ilegais são proibidas.

10.

O § 8, n.o 1 e n.o 3, ponto 3, da UWG dispõe que uma prática ilegal pode dar origem a uma ação inibitória ou a uma ação destinada à eliminação dos efeitos produzidos intentada pelas «entidades com interesse legítimo» enumeradas na Unterlassungsklagengesetz (Lei relativa às ações inibitórias) ou na lista elaborada pela Comissão Europeia, nos termos do artigo 4.o, n.o 3, da Diretiva 2009/22/CE, relativa às ações inibitórias em matéria de proteção dos interesses dos consumidores ( 3 ).

11.

Nos termos do § 2, n.o 1 e n.o 2, ponto 11, da Unterlassungsklagengesetz (Lei relativa às ações inibitórias):

«1)   Quem infringir disposições legais destinadas à proteção dos consumidores (leis relativas à proteção dos consumidores), sem ser através da utilização ou recomendação de cláusulas contratuais gerais destinadas à proteção dos consumidores, pode ser demandado, no interesse da proteção dos consumidores, em ação inibitória e em ação destinada à eliminação dos efeitos produzidos.

2)   Consideram‑se “leis relativas à proteção dos consumidores” na aceção desta disposição, em especial:

12.

O § 2, n.o 1, da Telemediengesetz (Lei relativa às telecomunicações) (a seguir «TMG») estabelece o seguinte:

«Para efeitos desta lei,

1.   considera‑se prestador de serviços qualquer pessoa singular ou coletiva que mantém para utilização ou facilita o acesso à utilização de meios de telecomunicação próprios ou alheios;

[…]»

13.

O § 12, n.o 1, da TMG estabelece que: «[o] prestador de serviços só pode recolher e utilizar dados pessoais para efeitos de disponibilização de meios de comunicação em linha caso a presente lei ou outro instrumento jurídico que diga expressamente respeito a meios de comunicação em linha o permita ou no caso de o utilizador ter prestado o seu consentimento».

14.

O § 13, n.o 1, da TMG dispõe o seguinte:

«O prestador de serviços deve informar o utilizador, de forma compreensível em geral, no início do ato de utilização, sobre o tipo, a extensão e a finalidade da recolha e utilização de dados pessoais e sobre a utilização dos seus dados em Estados não abrangidos pelo âmbito de aplicação da [Diretiva 95/46], se essa informação ainda não tiver sido prestada. Num procedimento automatizado que permita a identificação posterior do utilizador e que prepare a recolha ou a utilização dos dados pessoais, o utilizador deve ser informado no início deste processo. O teor da informação deve estar sempre acessível para o utilizador.»

15.

Nos termos do § 15.o, n.o 1, da TMG:

«O prestador de serviços só pode recolher e utilizar dados pessoais de um utilizador na medida em que tal seja necessário para permitir e faturar a utilização dos meios de comunicação em linha (dados de utilização). Constituem dados de utilização, nomeadamente:

16.

A Fashion ID (a seguir «recorrida») é uma sociedade de venda a retalho em linha de artigos de moda. A recorrida integrou na sua página Web o plug‑in«Gosto» disponibilizado pela Facebook Ireland Limited (a seguir «Facebook Ireland») ( 4 ). Por conseguinte, o designado botão «Gosto» do Facebook aparecia na página Web da recorrida.

17.

A decisão de reenvio prejudicial também explica como é que a parte (não visível) do plug‑in funciona: quando um visitante acede à página Web da recorrida onde figura o botão «Gosto» do Facebook, o seu navegador envia automaticamente informação sobre o seu endereço IP e a sua sequência do navegador para a Facebook Ireland. A transmissão desta informação ocorre sem ser necessário acionar efetivamente o botão «Gosto» do Facebook. Afigura‑se que também decorre da decisão de reenvio prejudicial que quando a página Web da recorrida é visitada, a Facebook Ireland insere diferentes tipos de cookies (sessão, datr e fr) no dispositivo do utilizador.

18.

A Verbraucherzentrale NRW (a seguir «recorrente»), uma associação de defesa dos consumidores, intentou uma ação judicial contra a recorrida no Landgericht (Tribunal Regional, Alemanha). A recorrente pediu que a recorrida fosse intimada a deixar de integrar o plug‑in social «Gosto» do Facebook com o fundamento de que esta alegadamente o tinha feito:

19.

A recorrente alegou que a Facebook Inc. ou a Facebook Ireland armazena o endereço IP e a sequência do navegador e associa‑os a um utilizador específico (membro ou não membro). A recorrida argumenta, em resposta, o seu desconhecimento a esse respeito. A Facebook Ireland afirma que o endereço IP é convertido num endereço IP genérico e só é armazenado nesse formato e que o endereço IP e a sequência do navegador não é alocado a uma conta de utilizador.

20.

O Landgericht (Tribunal Regional) condenou a recorrida com base nos três primeiros fundamentos, a qual interpôs recurso dessa decisão. A recorrente interpôs um recurso incidental em relação ao quarto fundamento.

21.

Neste contexto factual e jurídico, o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldorf) decidiu submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

Em caso de resposta negativa à primeira questão:

22.

A recorrente, a recorrida, a Facebook Ireland, o Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Agência Regional da Proteção de Dados e da Liberdade de Informação da Renânia do Norte‑Vestefália) (a seguir «LDI NW»), os Governos belga, alemão, italiano, austríaco e polaco e a Comissão apresentaram observações escritas. A recorrente, a recorrida, a Facebook Ireland, a LDI NW, a Bélgica, a Alemanha, a Áustria e a Comissão apresentaram alegações na audiência de 6 de setembro de 2018.

23.

Nas presentes conclusões, proponho que a Diretiva 95/46 não impede uma legislação nacional de reconhecer legitimidade a uma associação de defesa dos consumidores, como a recorrente, para intentar uma ação contra um alegado infrator das leis de proteção de dados (A). Também considero que a recorrida é responsável pelo tratamento conjuntamente com a Facebook Ireland, embora a sua responsabilidade seja limitada a uma fase específica do tratamento de dados (B). Em terceiro lugar, entendo que o exercício de ponderação previsto no artigo 7.o, alínea f), da Diretiva 95/46 exige que sejam tidos em conta não apenas os interesses legítimos da recorrida mas também os da Facebook Ireland (bem como, evidentemente, os direitos das pessoas em causa) (C). Em quarto lugar, o consentimento informado das pessoas em causa para uma determinada fase do tratamento de dados deve ser dado à recorrida. Esta tem igualmente a obrigação de prestar informação à pessoa em causa (D).

24.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se a Diretiva 95/46 obsta a uma disposição nacional que autoriza que as associações de defesa dos interesses dos consumidores intentem uma ação contra uma pessoa que alegadamente violou as leis de proteção de dados. A este respeito, o órgão jurisdicional de reenvio refere especificamente os artigos 22.o a 24.o da Diretiva 95/46. Observa que a legislação nacional em causa pode se enquadrar nas «medidas adequadas» a que se refere o artigo 24.o Além disso, salienta que o Regulamento (UE) 2016/679 (a seguir «RGPD») ( 5 ), que substituiu a Diretiva 95/46, confere expressamente tal direito a associações no seu artigo 80.o, n.o 2 ( 6 ).

25.

A recorrida e a Facebook Ireland alegam que a Diretiva 95/46 não permite a atribuição de legitimidade ativa a tais associações, uma vez que essa legitimidade não está expressamente prevista e, em seu entender, a Diretiva 95/46 visa uma harmonização completa. Segundo a recorrida, reconhecer a legitimidade ativa nestas condições ameaçaria a independência das autoridades de controlo devido à pressão pública a que estas autoridades estariam expostas.

26.

A recorrente, a LDI NW e todos os governos que apresentaram observações no presente processo partilham da opinião de que a Diretiva 95/46 não obsta à legislação em causa.

27.

Concordo com este entendimento ( 7 ).

28.

Importa recordar, antes de mais, a regra constitucional (geral) prevista no artigo 288.o, terceiro parágrafo, TFUE, nos termos do qual «[a] diretiva vincula o Estado‑Membro destinatário quanto ao resultado a alcançar, deixando, no entanto, às instâncias nacionais a competência quanto à forma e aos meios» que permitam realizar o melhor possível o objetivo prosseguido pela diretiva ( 8 ).

29.

Daqui decorre que para cumprir as obrigações impostas por uma diretiva, os Estados‑Membros têm liberdade para adotar quaisquer medidas que considerem adequadas, desde que estas não sejam expressamente excluídas pela própria diretiva ou não sejam contrárias aos objetivos da mesma diretiva.

30.

A redação da Diretiva 95/46 não exclui expressamente a possibilidade de o direito nacional reconhecer legitimidade ativa a associações de defesa dos direitos dos consumidores.

31.

Os objetivos prosseguidos pela Diretiva 95/46 incluem «assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais» ( 9 ). Além disso, nos termos do considerando 10 da Diretiva 95/46 «a aproximação das [legislações nacionais relativas ao tratamento de dados pessoais] não deve fazer diminuir a proteção que asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção na Comunidade» ( 10 ).

32.

Resulta da decisão de reenvio prejudicial que a Alemanha atribuiu legitimidade ativa a associações como a recorrente para contestarem o que considerem ser uma prática comercial ilegal ou uma prática que infringe as leis de proteção do consumidor, incluindo a legislação de proteção de dados.

33.

Neste contexto, não consigo compreender de que forma o reconhecimento de tal legitimidade é de algum modo contrária às finalidades da Diretiva 95/46 ou enfraquece o esforço para a prossecução de tais objetivos. Quanto muito, afigura‑se que reconhecer legitimidade ativa a este tipo de associações favorece a prossecução desses objetivos e a transposição da diretiva, contribuindo efetivamente para reforçar os direitos das pessoas em causa através de meios de recurso coletivos ( 11 ).

34.

Assim, considero que os Estados‑Membros, se pretenderem fazê‑lo, não estão proibidos de estabelecer uma regra que estabeleça a legitimidade ativa de associações, como a que autoriza a recorrente a intentar a ação em causa no processo principal.

35.

Tendo em conta esta resposta, considero um pouco despropositada a discussão que ocorreu no decurso deste processo, relativa à questão de saber se a legislação nacional em causa está especificamente abrangida pelo conceito de «medidas adequadas» do artigo 24.o da Diretiva 95/46 ou se pode estar abrangida pelo artigo 22.o Se os Estados‑Membros têm o dever de transpor uma diretiva através de quaisquer meios que considerem adequados e essa forma concreta de transposição não for proibida nem pelo teor nem pelas finalidades da diretiva, o artigo específico da diretiva em que uma medida nacional concreta pode ser classificada é de menor importância ( 12 ). Não obstante, em todo o caso, a expressão «tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva» que consta do artigo 24.o pode certamente ser interpretada no sentido de que inclui disposições nacionais como as que estão em causa no presente processo.

36.

Não creio que esta conclusão geral seja de algum modo afetada pelas seguintes considerações, que foram discutidas no decurso do presente processo.

37.

Em primeiro lugar, é verdade que a Diretiva 95/46 não figura na lista constante do anexo I da Diretiva 2009/22. Esta estabelece regras em matéria de ações inibitórias que podem ser intentadas pelas designadas «entidades com legitimidade» para reforçar a proteção dos interesses coletivos dos consumidores ( 13 ). A lista no anexo I enumera várias diretivas mas a Diretiva 95/46 não figura entre estas.

38.

Não obstante, como alega o Governo alemão, a lista constante do anexo I da Diretiva 2009/22 não pode ser considerada exaustiva, no sentido de que proíbe a legislação nacional de prever ações inibitórias relativas ao respeito das regras constantes em diretivas distintas das elencadas no anexo I da Diretiva 2009/22. A fortiori, seria bastante surpreendente se uma lista exemplificativa deste tipo constante de um diploma de direito derivado fosse subitamente interpretada no sentido de que priva os Estados‑Membros da possibilidade de escolha da forma de transposição de uma diretiva, estabelecida no Tratado.

39.

Em segundo lugar, há que apreciar o argumento apresentado pela recorrida e pela Facebook Ireland relativo à harmonização completa efetuada pela Diretiva 95/46, que, em seu entender, exclui qualquer ação que não esteja explicitamente prevista.

40.

É verdade que o Tribunal de Justiça tem afirmado reiteradamente que a harmonização resultante da Diretiva 95/46 não está limitada a uma harmonização mínima, mas corresponde a uma harmonização que é, «em princípio, total» ( 14 ). Simultaneamente, foi também declarado que a mesma diretiva «reconhece aos Estados‑Membros uma margem de manobra em certos domínios», desde que a Diretiva 95/46 o preveja ( 15 ).

41.

Conforme sugeri noutro processo ( 16 ), a questão de saber se existe uma «harmonização completa» ao nível do direito da União (na aceção de uma preempção legislativa, que impede qualquer ação legislativa por parte dos Estados‑Membros) não pode ser abordada de modo geral, relativamente a todo um ramo do direito ou ao objeto de uma diretiva. Ao invés, esta apreciação deve ser efetuada em relação a cada disposição específica (uma determinada norma ou um aspeto específico) da diretiva em questão.

42.

Importa observar que as disposições «processuais» específicas da Diretiva 95/46 que estão em causa no processo em apreço, nomeadamente os artigos 22.o a 24.o, estão redigidas em termos muito gerais ( 17 ). Tendo em conta o nível de generalidade e de abstração destas disposições, seria efetivamente surpreendente sugerir que as mesmas criam o efeito de preempção legislativa, excluindo a adoção de quaisquer medidas pelos Estados‑Membros que não estejam especificamente previstas nestes artigos ( 18 ).

43.

Em terceiro lugar, outro argumento invocado pela recorrida é relativo à ameaça à independência das autoridades de controlo ( 19 ). No essencial, sugere que, se a legitimidade ativa das associações de consumidores fosse reconhecida, estas associações intentariam ações paralelamente às e/ou em vez das autoridades de controlo, o que conduziria a uma pressão pública e a um tratamento parcial da autoridade de controlo e, eventualmente, colidiria com o requisito de total independência das autoridades de controlo previsto no artigo 28.o, n.o 1, da diretiva.

44.

Este argumento não tem relevância. Na medida em que tal autoridade de controlo seja, de facto, verdadeiramente independente ( 20 ), não vejo, tal como o Governo alemão, de que forma uma ação como a que está em causa no processo principal poderia ameaçar a sua independência. Uma associação não pode aplicar a lei no sentido de tornar o seu ponto de vista vinculativo para as autoridades de controlo. Esta é uma competência exclusiva dos tribunais. Uma associação de consumidores apenas pode, como qualquer consumidor individual, intentar uma ação. Assim, a alegação de que toda e qualquer ação (privada) intentada por um indivíduo ou por uma associação de consumidores colocaria pressão nos órgãos responsáveis pela aplicação (pública) da lei e que, por isso, não poderia ser autorizada a coexistir em paralelo com o sistema de aplicação pública da lei tem uma natureza tão peculiar que quase não é necessário aprofundar mais este argumento ( 21 ).

45.

Em quarto e último lugar, há que apreciar o argumento segundo o qual o artigo 80.o, n.o 2, do RGPD deve ser entendido no sentido de que altera (e inverte) a situação anterior, na medida em que autoriza algo (legitimidade ativa de associações) que antes não era permitido.

46.

Este argumento não é convincente.

47.

Importa recordar que com a substituição da Diretiva 95/46 pelo RGPD, foi alterada a natureza do instrumento jurídico que regula a matéria, passando de uma diretiva para um regulamento. Esta alteração significa igualmente que, contrariamente ao que ocorre numa diretiva, em que os Estados‑Membros mantêm a liberdade de escolher a forma de transposição do conteúdo deste instrumento legislativo, em princípio, só podem ser adotadas disposições nacionais de transposição de um regulamento se expressamente autorizadas.

48.

Nesta perspetiva, é questionável o argumento de que a disposição explícita sobre a legitimidade ativa de associações, agora incluída no RGPD, significa que esta legitimidade estava excluída pela Diretiva 95/46. Se algum argumento pudesse ser extraído de tal justaposição ( 22 ), seria o contrário: se a previsão de regras que reconhecem tal legitimidade não estava proibida pela última diretiva (com base nos argumentos acima referidos), a alteração da forma jurídica de uma diretiva para um regulamento justificaria a inclusão de tal disposição a fim de tornar claro que tal possibilidade continua efetivamente a existir.

49.

Por conseguinte, à luz do exposto, a minha primeira conclusão intercalar é que a Diretiva 95/46 não obsta a uma legislação nacional que reconhece às associações sem fins lucrativos legitimidade ativa para instaurarem um processo judicial contra o alegado infrator da legislação de proteção de dados, para defender os interesses dos consumidores.

50.

Com a sua segunda questão, o órgão jurisdicional de reenvio pretende saber se a recorrida, ao integrar um plug‑in na sua página Web que permite que o navegador do utilizador solicite conteúdos de um terceiro e transmita dados pessoais a esse terceiro, deve ser considerada «responsável pelo tratamento» na aceção do artigo 2.o, alínea d), da Diretiva 95/46, mesmo que a recorrida não possa influenciar a operação de tratamento de dados.

51.

Entendo a falta de possibilidade de influenciar a operação de tratamento de dados, referida pelo órgão jurisdicional de reenvio na sua questão, no sentido de que o presente processo não está relacionado com o facto de originar o processo de transmissão destes dados (a nível factual, a recorrida teve claramente influência, uma vez que integrou o plug‑in em causa). Afigura‑se antes relacionado com o possível tratamento subsequente dos dados pela Facebook Ireland.

52.

Como observa o órgão jurisdicional de reenvio, a resposta à sua segunda questão tem implicações que vão além do caso em apreço e da rede social operada pela Facebook Ireland. Há inúmeras páginas Web que integram conteúdos de terceiros de diversa natureza. Se uma pessoa como a recorrida fosse classificada como «responsável pelo tratamento», responsável (conjunta) por qualquer tratamento (subsequente) que ocorra em relação aos dados recolhidos devido ao facto de o administrador de uma página Web ter integrado conteúdos de terceiros que permitem a transferência de tais dados, tal declaração teria efetivamente implicações mais amplas na forma como o conteúdo de terceiros é tratado.

53.

Na estrutura do caso em apreço, a segunda questão corresponde igualmente à questão fundamental que está no cerne do litígio: em casos de integração de conteúdos de terceiros numa página Web, quem é responsável pelo quê exatamente? É também a (im)precisão da resposta a esta questão que afetará as respostas às questões seguintes sobre os interesses legítimos, o consentimento e a obrigação de informação.

54.

Nesta secção, começarei por efetuar algumas observações preliminares sobre o conceito de dados pessoais relevante para o caso em apreço (1). Em seguida, apresentarei jurisprudência recente do Tribunal de Justiça, sugerindo o modo como se poderia responder à segunda questão, se as decisões anteriores do Tribunal de Justiça devessem ser acolhidas sem serem colocadas outras questões (2). Depois, explicarei a razão pela qual talvez devam ser colocadas mais questões e, no âmbito do caso em apreço, a análise deva ser de alguma forma aperfeiçoada (3). Concluirei salientando, para efeitos da definição do conceito de responsabilidade (conjunta) pelo tratamento, a importância da unidade das «finalidades e meios» que deve existir entre os responsáveis (conjuntos) pelo tratamento, relativamente à respetiva fase do tratamento de dados pessoais (operação de tratamento de dados) em questão (4).

55.

Há que recordar que o conceito de «dados pessoais» está definido no artigo 2.o, alínea a), da Diretiva 95/46 como «qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”)». O considerando 26 da mesma diretiva estabelece a este respeito que, «para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa».

56.

O Tribunal de Justiça já esclareceu que um endereço IP pode, em determinadas circunstâncias, constituir um dado pessoal ( 23 ). Afirmou ainda que, para o efeito, para uma pessoa ser «identificável» na aceção do artigo 2.o, alínea a), da Diretiva 95/46 «não é necessário que essa informação permita, por si só, identificar a pessoa em causa», e que pode, assim, ser necessário recorrer a informações suplementares. Declarou igualmente que «não é necessário que todas as informações que permitem identificar a pessoa em causa tenham de estar na posse de uma única pessoa», na medida em que a possibilidade de combinar os respetivos dados «constitui um meio suscetível de ser razoavelmente utilizado para identificar a pessoa em causa» ( 24 ).

57.

O órgão jurisdicional de reenvio não discute se o endereço IP, isoladamente ou combinado com a sequência do navegador que também é transmitida, constitui um dado pessoal na aceção deste critério. A Facebook Ireland parece discordar desta qualificação ( 25 ).

58.

É evidente que tal apreciação deve ser efetuada pelo órgão jurisdicional nacional. Em geral, relativamente a quaisquer plug‑ins ou quaisquer outros conteúdos de terceiros que possam ser integrados, para que a informação seja qualificada de pessoal é indispensável que esses dados permitam que a pessoa em causa seja (direta ou indiretamente) identificada. Para efeitos do caso em apreço, considero um dado adquirido que, como aparentemente resulta das questões submetidas pelo órgão jurisdicional de reenvio, nas circunstâncias do processo principal, o endereço IP e a sequência do navegador constituem efetivamente dados pessoais e preenchem o critério do artigo 2.o, alínea a), da Diretiva 95/46, conforme precisado pelo Tribunal de Justiça.

59.

No que diz respeito à resposta à segunda questão, a recorrida e a Facebook Ireland alegam que a recorrida não pode ser considerada responsável pelo tratamento, uma vez que não tem influência nos dados pessoais que serão processados. Assim, apenas a Facebook Ireland pode ser qualificada como tal. A título subsidiário, a Facebook Ireland afirma que a recorrida atua conjuntamente consigo como responsável conjunta pelo tratamento, mas que, no entanto, a responsabilidade de uma pessoa como a recorrida está limitada à sua esfera de influência real.

60.

A recorrente, a LDI NW, todos os governos que intervieram no caso em apreço e a Comissão partilham, em substância, do entendimento de que o conceito de «responsável pelo tratamento» tem um significado amplo e inclui a recorrida. Contudo, os seus entendimentos relativos à dimensão exata da responsabilidade da recorrida variam consideravelmente nas suas observações. As diferenças respeitam à questão de saber se a recorrida e a Facebook Ireland devem, ou não, ser consideradas conjuntamente responsáveis pelo tratamento, se a sua responsabilidade conjunta deve ou não ser limitada à fase do tratamento dos dados pessoais em que a recorrida está efetivamente envolvida e se, neste contexto, deve ser estabelecida uma distinção entre os visitantes da página Web da recorrida que têm uma conta de Facebook e os que não têm tal conta.

61.

Para começar, resulta do artigo 2.o, alínea d), da Diretiva 95/46, que o conceito de «responsável pelo tratamento» abrange uma pessoa que «individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais» ( 26 ). O conceito de responsável pelo tratamento pode, assim, referir‑se a vários operadores que participam no tratamento de dados pessoais ( 27 ) e deve ser interpretado em sentido amplo ( 28 ).

62.

A questão do controlo conjunto foi recentemente apreciada pelo Tribunal de Justiça no Acórdão Wirtschaftsakademie Schleswig‑Holstein ( 29 ). Quanto ao papel do administrador de uma página de fãs no Facebook, o Tribunal de Justiça concluiu que este administrador agiu como responsável pelo tratamento, conjuntamente com a Facebook Ireland, na aceção do artigo 2.o, alínea d), da Diretiva 95/46. Isto deveu‑se ao facto de o administrador ter contribuído para determinar, conjuntamente com a Facebook Ireland, as finalidades e os meios do tratamento dos dados pessoais dos visitantes da página de fãs ( 30 ).

63.

Mais especificamente, o Tribunal de Justiça observou que ao criar a página de fãs em causa, o administrador ofereceu ao Facebook Ireland «a possibilidade de colocar cookies no computador ou em qualquer outro aparelho da pessoa que tenha visitado a sua página de fãs» e, assim, proceder ao tratamento de dados pessoais ( 31 ). O Tribunal de Justiça salientou que «a criação de uma página de fãs no Facebook implica, por parte do seu administrador, uma ação de parametrização, em função, designadamente, da sua audiência alvo, bem como de objetivos de gestão ou de promoção das suas atividades, que influi no tratamento de dados pessoais para efeitos de elaboração de estatísticas efetuadas a partir das visitas da página de fãs» ( 32 ). O tratamento em causa permitia à Facebook Ireland «melhorar o seu sistema de publicidade» ao mesmo tempo que fornecia ao administrador os meios para gerir melhor, através de estatísticas anonimizadas, a promoção da sua própria atividade ( 33 ).

64.

O Tribunal de Justiça concluiu que, através da «sua ação de parametrização», o administrador em causa participou na determinação das finalidades e dos meios de tratamento de dados pessoais dos visitantes da sua página de fãs. Por conseguinte, tinha que ser considerado responsável por este tratamento conjuntamente com a Facebook Ireland (com responsabilidade «ainda mais significativ[a]» quanto aos dados pessoais de quem não é utilizador da Facebook Ireland) ( 34 ).

65.

No Acórdão Jehovan todistajat, o Tribunal de Justiça efetuou outro importante esclarecimento em relação ao conceito de responsável conjunto pelo tratamento: para existir controlo conjunto e responsabilidade conjunta, não se exige que cada responsável pelo tratamento deva ter acesso a (todos) os dados pessoais em causa. Assim, uma comunidade religiosa podia também ser responsável conjunta pelo tratamento quando a própria comunidade não tem acesso aos dados recolhidos em questão. Nesse processo, eram os membros individuais da comunidade das testemunhas de Jeová que estavam na posse física de dados pessoais. Bastava que a atividade de pregação, em que aparentemente foram recolhidos dados pessoais, tivesse sido organizada, coordenada e promovida por essa comunidade ( 35 ).

66.

Considerando a questão num nível superior de abstração e centrando‑me apenas no conceito de controlo conjunto, tenho de concordar que à luz das referidas decisões judiciais recentes, deve concluir‑se que a recorrida atua como responsável pelo tratamento e é responsável conjuntamente com a Facebook Ireland pelo tratamento de dados ( 36 ).

67.

Em primeiro lugar, afigura‑se que a recorrida permitiu que a Facebook Ireland obtivesse os dados pessoais de utilizadores da página Web da recorrida através da utilização do plug‑in em causa.

68.

Em segundo lugar, é verdade que, ao contrário do administrador em causa no Acórdão Wirtschaftsakademie Schleswig‑Holstein, não se afigura que a recorrida determine os parâmetros de qualquer informação sobre os utilizadores da sua página Web que lhe é devolvida de uma forma anonimizada ou noutra forma. O «benefício» pretendido parece ser a publicidade gratuita dos seus produtos que alegadamente ocorre quando o utilizador da sua página Web decide acionar o botão «Gosto» do Facebook para partilhar, através da sua conta de Facebook, o que pensa, por exemplo, sobre a um vestido de cocktail preto. Assim, embora sem prejuízo de verificação factual pelo órgão jurisdicional de reenvio, a utilização do plug‑in permite à recorrida otimizar a publicidade dos seus produtos mediante a possibilidade de os tornar visíveis no Facebook.

69.

Em alternativa, visto de outra perspetiva, poderia considerar‑se que a recorrida participa na determinação dos parâmetros dos dados recolhidos, pelo simples facto de introduzir o plug‑in em causa na sua página Web. É o próprio plug‑in que fornece os parâmetros dos dados pessoais que devem ser recolhidos. Assim, ao integrar deliberadamente esta ferramenta na sua página Web, a recorrida estabeleceu estes parâmetros relativamente a quaisquer visitantes da sua página Web.

70.

Em terceiro e último lugar, à luz do Acórdão Jehovan todistajat, um responsável conjunto pelo tratamento pode ser qualificado como tal sem sequer ter tido acesso a quaisquer «frutos do trabalho conjunto». Assim, o facto de a recorrida não ter acesso aos dados transmitidos ao Facebook ou de aparentemente não receber quaisquer estatísticas personalizadas ou agregadas em troca não se afigura decisivo.

71.

A proteção efetiva pode ser reforçada se todos forem responsáveis por garanti‑la?

72.

No essencial, é este o maior dilema moral e prático colocado pelo caso em apreço e expresso em termos jurídicos pelo alcance da definição de responsável (conjunto) pelo tratamento. Com a vontade compreensível de garantir a proteção efetiva dos dados pessoais, a jurisprudência recente do Tribunal de Justiça tem sido muito inclusiva quando é chamada a definir, de alguma forma, o conceito de responsável (conjunto) pelo tratamento. Contudo, até ao momento, o Tribunal de Justiça não foi confrontado com as implicações práticas de uma abordagem tão abrangente em relação às fases posteriores dos deveres exatos e responsabilidades específicas das partes que são qualificadas de responsáveis conjuntas pelo tratamento. Dado que o presente processo oferece precisamente esta oportunidade, sugiro aproveitá‑lo para melhorar a precisão das necessárias definições do conceito de responsável (conjunto) pelo tratamento.

73.

Ao apreciar com espírito crítico o critério aplicável para identificar um «responsável conjunto pelo tratamento», afigura‑se que o critério fundamental após a prolação dos Acórdãos Wirtschaftsakademie Schleswig‑Holstein e Jehovan todistajat é a pessoa em causa ter «tornado possível» a recolha e a transmissão de dados pessoais, eventualmente com alguma influência desse responsável conjunto pelo tratamento sobre os parâmetros (pelo menos, tê‑los aprovado tacitamente) ( 37 ). Se for este efetivamente o caso, então, apesar de uma intenção de o excluir claramente declarada no Acórdão Wirtschaftsakademie Schleswig‑Holstein ( 38 ), é difícil perceber como é que os utilizadores normais de uma aplicação em linha, quer seja uma rede social quer seja qualquer outra plataforma colaborativa, mas igualmente de outros programas ( 39 ), não se tornariam também responsáveis conjuntos pelo tratamento. Em regra, um utilizador cria a sua conta, fornecendo ao administrador parâmetros sobre como a mesma deve ser estruturada, que informações deseja receber, sobre que temas e de quem. Convidará também os seus amigos, colegas e outros para partilharem informação sob a forma de dados pessoais (frequentemente muito sensíveis), através da aplicação, fornecendo assim não apenas dados relativos a tais pessoas mas também convidando‑as a participar, contribuindo deste modo claramente para a obtenção e tratamento dos dados pessoais dessas pessoas.

74.

Além disso, o que sucede em relação a outras partes numa «cadeia de dados pessoais»? Quando levado ao extremo, se o único critério relevante do controlo conjunto for ter tornado possível o tratamento de dados, contribuindo assim efetivamente para esse tratamento em qualquer fase, o fornecedor de serviços de Internet, que torna possível o tratamento de dados ao fornecer acesso à Internet, ou mesmo o fornecedor de eletricidade não seriam então também potencialmente responsáveis conjuntos pelo tratamento de dados pessoais?

75.

A resposta intuitiva é, evidentemente, «não». O problema é que, até ao momento, a delimitação de responsabilidade não decorre da definição ampla de responsável pelo tratamento. O perigo de uma definição tão ampla é resultar na corresponsabilização de várias pessoas pelo tratamento de dados pessoais.

76.

No entanto, contrariamente aos processos referidos na secção anterior, as questões submetidas pelo órgão jurisdicional de reenvio no processo em apreço não se limitam à definição de «responsável pelo tratamento». Retomam e continuam a aprofundar questões relacionadas com a imputação de obrigações efetivas impostas pela Diretiva 95/46. Estas questões, por si só, demonstram os problemas de uma definição mais inclusiva de responsável pelo tratamento, especialmente quando associada à inexistência de uma regra precisa que esclarece exatamente quais são os deveres e responsabilidades específicos dos responsáveis pelo tratamento nos termos da Diretiva 95/46. As observações dos interessados em resposta à quinta e sexta questões, relativas à exata imputação de responsabilidades nos termos da diretiva, ilustram isto bem.

77.

A quinta questão visa essencialmente saber quem deve obter o consentimento da pessoa em causa e para que finalidade. As respostas sugeridas para esta questão variam consideravelmente.

78.

A recorrente e a LDI NW consideram que a obrigação de obter o consentimento informado das pessoas em causa cabe à recorrida, que decidiu integrar o plug‑in em causa. Segundo a recorrente, isto é ainda mais importante para os não utilizadores do Facebook que não aceitaram os termos e condições gerais do Facebook. A posição da recorrida é que o consentimento deve ser dado ao terceiro que fornece o conteúdo integrado, neste caso, a Facebook Ireland. A Facebook Ireland considera que o consentimento não tem de ser dado a um destinatário determinado, uma vez que a Diretiva 95/46 apenas especifica que o consentimento tem de ser livre, específico e informado.

79.

A Áustria, a Alemanha e a Polónia alegam que o consentimento deve ser dado antes de ocorrer o tratamento dos dados e, segundo a Áustria, deve ser relativo quer à recolha quer à possível transmissão de dados. A Polónia afirma que o consentimento deve ser dado à recorrida. A Alemanha considera que o consentimento deve ser dado à recorrida ou ao terceiro que fornece o conteúdo integrado (a Facebook Ireland), uma vez que ambos são corresponsáveis pelo tratamento. A recorrida apenas tem de receber o consentimento para a transmissão de dados ao terceiro, visto que, relativamente a qualquer outro tratamento e utilização dos dados recolhidos, deixa de atuar como responsável pelo tratamento. Contudo, isto não exclui a possibilidade de o administrador da página Web obter consentimento respeitante ao tratamento pelo terceiro, que pode ser regulado por um acordo entre ambos. A Itália alega que o consentimento deve ser dado a todos aqueles que participem no tratamento dos dados pessoais, concretamente, a recorrida e a Facebook Ireland. A Bélgica e a Comissão afirmam que a Diretiva 95/46 não especifica a quem deve ser dado o consentimento.

80.

Existe uma variedade semelhante de pontos de vista relativamente ao problema de saber quem tem a obrigação de informação nos termos do artigo 10.o da Diretiva 95/46 e a respeito do quê exatamente, colocado pela sexta questão submetida pelo órgão jurisdicional de reenvio.

81.

Segundo a recorrente, cabe ao administrador de uma página Web a obrigação de comunicar a informação necessária à pessoa em causa. A recorrida apresentou o argumento contrário, afirmando que incumbe à Facebook Ireland prestar informação, uma vez que a recorrida não possui um conhecimento exato. De igual modo, a Facebook Ireland alega que tem a obrigação de informação, uma vez que esta obrigação incumbe apenas ao responsável pelo tratamento (ou ao seu representante). Observa que a resposta à sexta questão está estreitamente relacionada com a questão de saber se o administrador de uma página Web é um responsável pelo tratamento. O artigo 10.o demonstra que não é adequado qualificar o administrador de uma página Web como responsável pelo tratamento, uma vez que este não está em posição de prestar tal informação. A LDI NW considera que a informação deve ser prestada pelo administrador da página Web, mas reconhece a dificuldade em determinar qual a informação que deve ser prestada, visto que a recorrida não tem influência no tratamento de dados efetuado pela Facebook Ireland. A interligação dos objetivos do tratamento de dados sugere que o administrador da página Web deve ser corresponsável pelo tratamento de dados que tornou possível.

82.

A Bélgica, a Itália e a Polónia afirmam que a obrigação de informação também é aplicável ao administrador de uma página Web como o que está em causa, uma vez que é qualificado de responsável pelo tratamento. A Bélgica acrescenta que o administrador da página Web pode igualmente ter a obrigação de verificar a finalidade do posterior tratamento de dados e de adotar as medidas adequadas para garantir a proteção das pessoas singulares. O Governo alemão alega que a obrigação de informação é aplicável ao administrador da página Web na medida em que é responsável pelo tratamento de dados, nomeadamente, pela transmissão de dados ao fornecedor externo do conteúdo integrado, mas não por todas as outras fases de tratamento de dados subsequentes, que são da responsabilidade desse fornecedor externo. Segundo a Áustria e a Comissão, quer o administrador da página Web quer o fornecedor externo estão sujeitos à obrigação de informação nos termos do artigo 10.o da Diretiva 95/46.

83.

Além das interrogações suscitadas pela quinta e sexta questões, importa acrescentar que também podem surgir dificuldades conceptuais distintas quando da análise de outras obrigações definidas pela Diretiva 95/46, como o direito de acesso nos termos do seu artigo 12.o É verdade que o Tribunal de Justiça declarou no Acórdão Wirtschaftsakademie Schleswig‑Holstein que a «Diretiva 95/46 não exige que, quando seja conjunta a responsabilidade de vários operadores pelo mesmo tratamento, cada um destes operadores tenha acesso aos dados pessoais em causa» ( 40 ). No entanto, um responsável pelo tratamento de dados que não tem acesso aos dados em relação aos quais é, não obstante, considerado responsável (conjunto) pelo tratamento não pode, logicamente, fornecer esse acesso a qualquer pessoa em causa (para não mencionar quaisquer outras operações, como a retificação ou o apagamento).

84.

Assim, nesta fase, a falta de clareza conceptual a montante (quem é o responsável pelo tratamento e em relação a quê exatamente) que pode levar, em alguns casos, à falta de clareza a jusante (quem está sujeito a que obrigação) conduz a uma impossibilidade efetiva de um potencial responsável conjunto pelo tratamento de dados cumprir a legislação vigente.

85.

Poder‑se‑ia certamente sugerir que deveriam ser celebrados contratos para regular a imputação exata de responsabilidade entre os (potencialmente muito numerosos) responsáveis conjuntos pelo tratamento de dados. Esses contratos estabeleceriam não apenas a imputação de responsabilidade, mas também identificariam a parte que deve cumprir cada uma das obrigações previstas na diretiva, incluindo as que podem ser fisicamente exercidas apenas por uma parte.

86.

Considero tal proposta profundamente problemática. Em primeiro lugar, é completamente irrealista, tendo em conta a quantidade de contratos tipo que teriam de ser assinados por todas as categorias de partes, incluindo, muito provavelmente, vários utilizadores normais ( 41 ). Em segundo lugar, a aplicação da legislação vigente e a imputação de responsabilidade que esta estabelece dependeria de acordos privados, aos quais os terceiros que pretendam fazer valer os seus direitos poderão não ter acesso.

87.

Em terceiro lugar, talvez antecipando parcialmente algumas dessas questões, o RGPD parece introduzir um novo regime de responsabilidade conjunta no seu artigo 26.o É certamente verdade que o RGPD não era aplicável ratione temporis aos casos discutidos nesta secção ou ao caso em apreço. No entanto, a não ser que exista uma derrogação específica ou sistemática na nova legislação relativamente às definições relevantes, o que aparentemente não é o caso, uma vez que o artigo 4.o do RGPD retoma em larga medida os termos fundamentais que constam do artigo 2.o da Diretiva 95/46 (e adiciona vários outros novos), seria bastante surpreendente que a interpretação de tais conceitos fundamentais, incluindo os conceitos de responsável pelo tratamento, de tratamento ou de dados pessoais, se afastasse significativamente (sem uma razão muito boa) da jurisprudência existente.

88.

Se efetivamente fosse esse o caso, então o que aparenta ser um regime de responsabilidade conjunta dos responsáveis pelo tratamento de dados introduzido no artigo 26.o, n.o 3, do RGPD poderia tornar‑se um grande desafio. Por um lado, o artigo 26.o, n.o 1, do RGPD permite que os responsáveis conjuntos pelo tratamento «determin[em] […] as respetivas responsabilidades pelo cumprimento» das obrigações. Por outro lado, no entanto, o artigo 26.o, n.o 3, do RGPD precisa que «o titular dos dados pode exercer os direitos»«em relação [a] cada um dos responsáveis pelo tratamento» independentemente de qualquer acordo. Assim, todos os responsáveis conjuntos pelo tratamento podem ser considerados responsáveis pelo tratamento de dados em questão.

89.

Há muito tempo (os fãs de uma certa saga de ficção científica talvez pretendam acrescentar: «numa galáxia muito, muito distante»), era fantástico estar numa rede social. Gradualmente, começou a ser fantástico não estar numa rede social. Atualmente, parece ser um crime estar numa destas redes (e para as quais devem ser instituídas novas formas de responsabilidade indireta).

90.

Não há como negar que o processo de decisão judicial ocorre num contexto social evolutivo. Deve certamente reagir a este contexto, mas não ser por ele controlado. Uma rede social, como qualquer outra aplicação ou programa, é uma ferramenta. Tal como uma faca ou um carro, pode ser utilizada de várias formas. Também não há dúvida de que se for utilizada para os fins errados, esta utilização deve ser condenada. Mas talvez não seja a melhor ideia punir todas as pessoas que já utilizaram uma faca. Em regra, condena‑se a pessoa ou as pessoas que controlavam a faca no momento em que esta causou danos.

91.

Por conseguinte, embora nem sempre possa existir uma correspondência exata, deve haver, pelo menos, um nexo razoável entre poder, controlo e responsabilidade. O direito moderno inclui naturalmente várias formas de responsabilidade objetiva, que serão desencadeadas apenas se ocorrerem determinados resultados. Mas estas tendem a ser exceções justificadas. Se, sem qualquer explicação fundamentada, a responsabilidade for imputada a alguém que não tem controlo sobre o resultado, tal imputação de responsabilidade será geralmente vista como excessiva ou injusta ( 42 ).

92.

Além disso, em resposta à questão colocada no início desta secção (n.o 71), uma pessoa cética originária das partes mais orientais da União Europeia pode talvez sugerir, considerando a sua experiência histórica, que a proteção efetiva de algo tende a diminuir drasticamente se todos foram responsabilizados pela mesma. Tornar todos responsáveis significa que ninguém será de facto responsável. Ou melhor, é provável que a única parte que deveria ter sido considerada responsável por uma determinada ação, aquela que exerce efetivamente controlo, se esconda atrás de todos os outros designados «corresponsáveis», sendo a proteção efetiva provavelmente diluída de forma significativa.

93.

Por último, nenhuma boa (interpretação da) lei deve conduzir a um resultado em que as obrigações que prevê não podem efetivamente ser cumpridas pelos seus destinatários. Assim, a menos que a definição sólida de controlo (conjunto) pretenda tornar‑se numa ordem judicial para desconectar, aplicável a todos os agentes, e evitar a utilização de quaisquer redes sociais, plug‑ins e outros eventuais conteúdos de terceiros relacionados, quando da definição das obrigações e responsabilidades, há que ter em conta a realidade, incluindo, mais uma vez os aspetos ligados ao conhecimento, ao poder efetivo de negociação e à capacidade de influenciar qualquer uma das atividades em causa ( 43 ).

94.

Apesar de abordar de forma bastante sólida a definição de controlo conjunto no Acórdão Wirtschaftsakademie Schleswig‑Holstein, o Tribunal de Justiça também salientou a necessidade de limitar a responsabilidade do responsável (conjunto) pelo tratamento. Mais especificamente, o Tribunal de Justiça declarou que «a existência de uma responsabilidade conjunta não se traduz necessariamente numa responsabilidade equivalente dos diferentes operadores em causa por um tratamento de dados pessoais. […] esses operadores podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que, para avaliar o nível de responsabilidade de cada um, há que tomar em consideração todas as circunstâncias pertinentes do caso em apreço» ( 44 ).

95.

Embora não tenha sido necessário abordar esta questão específica no Acórdão Wirtschaftsakademie Schleswig‑Holstein, esta necessidade existe no caso em apreço, no qual o órgão jurisdicional de reenvio convida diretamente o Tribunal de Justiça a determinar as possíveis obrigações da recorrida que decorrem do seu estatuto de responsável pelo tratamento.

96.

Tendo em conta o novo regime de responsabilidade conjunta instituído pelo artigo 26.o do RGPD, pode ser difícil prever como é que a responsabilidade conjunta pode implicar, relativamente ao mesmo resultado em termos de tratamento potencialmente (i)lícito de dados pessoais, uma responsabilidade diferenciada. Nomeadamente, à luz do artigo 26.o, n.o 3, do RGPD, que parece apontar no sentido de uma responsabilidade conjunta (e múltipla) ( 45 ).

97.

Contudo, considero que a afirmação fundamental do Tribunal de Justiça é a segunda, designadamente que os «operadores podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus». Este entendimento baseia‑se nas definições constantes da Diretiva 95/46, em particular, na definição do (i) conceito de tratamento prevista no artigo 2.o, alínea b), e do (ii) conceito de responsável pelo tratamento prevista no artigo 2.o, alínea d).

98.

Em primeiro lugar, o conceito de tratamento de dados pessoais inclui «qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição».

99.

Embora o conceito de tratamento, tal como o conceito do responsável pelo tratamento, seja bastante amplo ( 46 ), sublinha e visa claramente uma fase do tratamento: refere‑se a uma operação ou conjunto de operações e contém uma lista exemplificativa do que podem ser operações individuais. Mas então, a questão da responsabilidade deve logicamente ser apreciada tendo em conta a operação distinta em causa e não um conjunto indeterminado de tudo e mais alguma coisa designado tratamento ( 47 ).

100.

Em segundo lugar, o conceito de controlo conjunto não se encontra especificamente definido na Diretiva 95/46. No entanto, é lógico que este conceito assenta no conceito de responsável pelo tratamento previsto no artigo 2.o, alínea d): a situação de controlo conjunto surge quando duas ou mais pessoas determinam os meios e as finalidades do tratamento de dados pessoais conjuntamente ( 48 ). Por outras palavras, para que duas (ou mais) pessoas sejam qualificadas de responsáveis conjuntas pelo tratamento, deve existir identidade das finalidades e dos meios do tratamento de dados pessoais entre si.

101.

É a conjugação destas duas definições que deve, em meu entender, determinar as obrigações e a eventual responsabilidade dos responsáveis conjuntos pelo tratamento. Um responsável (conjunto) pelo tratamento é responsável por essa operação ou conjunto de operações em que partilha ou determina conjuntamente as finalidades e os meios, no que se refere a uma determinada operação de tratamento. Em contrapartida, essa pessoa não pode ser considerada responsável pelas fases anteriores ou posteriores de toda a cadeia de tratamento, em relação às quais não estava em posição de determinar nem as finalidades nem os meios.

102.

No caso em apreço, a fase (operações) relevante do tratamento corresponde à recolha e à transmissão de dados pessoais que ocorre através do botão «Gosto» do Facebook.

103.

Em primeiro lugar, no que se refere aos meios dessas operações de tratamento de dados, conforme sugerido pela recorrente, pela LDI NW e pelo Governo alemão, afigura‑se demonstrado que a recorrida decide sobre a utilização do plug‑in em causa, que serve de veículo de recolha e transmissão dos dados pessoais. Esta recolha e transmissão são desencadeadas quando se visita a página Web da recorrida. O referido plug‑in foi fornecido à recorrida pela Facebook Ireland. Assim, afigura‑se que a Facebook Ireland e a recorrida desencadearam deliberadamente a fase da recolha e da transmissão do tratamento de dados. É evidente que, a nível factual, cabe ao órgão jurisdicional nacional verificar esta situação.

104.

Em segundo lugar, no que respeita à finalidade do tratamento de dados, o pedido de reenvio prejudicial não apresenta os motivos pelos quais a recorrida decidiu integrar o botão «Gosto» do Facebook na sua página Web. No entanto, sob reserva de verificação pelo órgão jurisdicional de reenvio, essa decisão afigura‑se inspirada pelo desejo de aumentar a visibilidade dos produtos da recorrida através da rede social. Simultaneamente, também se afigura que os dados transferidos à Facebook Ireland são utilizados para as próprias finalidades comerciais desta.

105.

Ainda que a utilização comercial específica dos dados possa não ser a mesma, em geral, tanto a recorrida como a Facebook Ireland parecem prosseguir finalidades comerciais numa forma que se afigura mutuamente complementar. Deste modo, embora não seja idêntica, existe uma unidade de finalidades: existe uma finalidade comercial e publicitária.

106.

Com base nos factos do caso em apreço, afigura‑se que a recorrida e a Facebook Ireland decidiram conjuntamente sobre os meios e as finalidades do tratamento de dados na fase da recolha e da transmissão dos dados pessoais em causa. Nesta medida, a recorrida atua como responsável pelo tratamento e a sua responsabilidade é, também nesta medida, conjunta com a da Facebook Ireland.

107.

Simultaneamente, considero que a responsabilidade da recorrida tem de ser limitada à fase do tratamento de dados em que participa e não pode ser alargada a quaisquer eventuais fases posteriores do tratamento de dados, se tal tratamento ocorrer fora do controlo e, aparentemente, também sem o conhecimento da recorrida.

108.

À luz do exposto, a minha segunda conclusão intercalar é, por conseguinte, que uma pessoa, como a recorrida, que integrou um plug‑in de um terceiro na sua página Web que origina a recolha e a transmissão dos dados pessoais do utilizador (tendo este terceiro fornecido o plug‑in) deve ser considerada responsável pelo tratamento na aceção do artigo 2.o, alínea d), da Diretiva 95/46. No entanto, esta responsabilidade (conjunta) do responsável pelo tratamento está limitada às operações em que efetivamente participa na decisão sobre os meios e as finalidades do tratamento dos dados pessoais.

109.

Importa acrescentar que esta conclusão também responde à terceira questão submetida. Com esta questão, o órgão jurisdicional de reenvio pretende saber, em substância, se a Diretiva 95/46 se opõe à aplicação do conceito de direito nacional Störer (perturbador) à recorrida, caso se demonstre que esta não pode ser considerada responsável pelo tratamento. Segundo o pedido de reenvio prejudicial, o conceito de Störer exige que a pessoa que não infringe um direito mas que criou ou agravou o risco de tal infração por terceiros faça o que lhe é possível e razoável para impedir essa infração do direito. Se a recorrida não puder ser considerada responsável pelo tratamento, o órgão jurisdicional de reenvio sugere que estão preenchidos os requisitos da aplicação do conceito de Störer, uma vez que, ao integrar o plug‑in para o botão «Gosto» do Facebook, a recorrida criou, no mínimo, o risco de uma infração pelo Facebook.

110.

Tendo em conta a resposta à segunda questão do órgão jurisdicional de reenvio, não é necessário abordar a terceira questão. Uma vez estabelecido que uma determinada pessoa é considerada responsável pelo tratamento no âmbito da Diretiva 95/46, as suas obrigações como responsável pelo tratamento têm de ser apreciadas à luz das obrigações definidas por esta diretiva. A conclusão contrária conduziria a uma responsabilização diferenciada dos responsáveis pelo tratamento por uma determinada violação entre os diferentes Estados‑Membros. Neste sentido, e atendendo à definição de responsável pelo tratamento, a Diretiva 95/46 efetua, de facto, uma harmonização completa no que respeita aos destinatários das obrigações definidas ( 49 ).

111.

A quarta questão submetida no caso em apreço é relativa à legitimidade do tratamento de dados pessoais na falta de consentimento da pessoa em causa na aceção do artigo 7.o, alínea a), da Diretiva 95/46.

112.

A este respeito, o órgão jurisdicional de reenvio refere o artigo 7.o, alínea f), da Diretiva 95/46 nos termos do qual o tratamento de dados pessoais só poderá ser efetuado se «for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa». Mais especificamente, o órgão jurisdicional de reenvio pretende saber quais os interesses legítimos que devem ser tidos em conta no caso em apreço: os da recorrida que integrou o conteúdo do terceiro ou os deste terceiro (a saber, a Facebook Ireland) ( 50 ).

113.

A título preliminar, há que observar que a Comissão considera que a quarta questão é irrelevante, uma vez que no caso em apreço o consentimento do utilizador deve ser dado de qualquer forma, por força da legislação que transpõe a Diretiva 2002/58/CE, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas («Diretiva Privacidade e Comunicações Eletrónicas») ( 51 ).

114.

Concordo com a Comissão em relação ao facto de que a Diretiva Privacidade e Comunicações Eletrónicas (que, nos termos do seu artigo 1.o, n.o 2, precisa e complementa a Diretiva 95/46 no setor das comunicações eletrónicas) ( 52 ) se afigura aplicável ao caso em apreço, na medida em que foram colocados cookies nos dispositivos dos utilizadores ( 53 ). Além disso, o artigo 2.o, alínea f), e o considerando 17 da Diretiva Privacidade e Comunicações Eletrónicas definem o consentimento tendo por referência o conceito de consentimento que consta da Diretiva 95/46.

115.

A questão de saber se, no processo principal, se verificou a colocação de cookies foi objeto de ampla discussão na audiência. Cabe ao órgão jurisdicional nacional efetuar este esclarecimento factual. No entanto, em todo caso, conforme referido no pedido de reenvio prejudicial, o órgão jurisdicional de reenvio considera que os dados transmitidos constituem dados pessoais ( 54 ). Por conseguinte, não se afigura que a questão dos cookies permita responder a todas as questões aparentemente suscitadas no caso em apreço em relação ao tratamento de dados ( 55 ).

116.

Assim, considero que a quarta questão exige maior aprofundamento.

117.

A recorrente alega que o interesse legítimo que deve ser tido em conta é o da recorrida. Acrescenta que nem a recorrida nem a Facebook Ireland podem invocar um interesse legítimo no caso em apreço.

118.

A recorrida e a Facebook Ireland alegam, em substância, que os interesses legítimos que devem ser considerados são os da pessoa que integra o conteúdo de terceiro e os do terceiro, embora considerem também os interesses dos visitantes da página Web cujos direitos fundamentais podem ser afetados.

119.

A LDI NW, a Polónia, a Alemanha e a Itália consideram que tanto os interesses legítimos da recorrida como os da Facebook Ireland devem ser tidos em conta, uma vez que ambas tornaram possível o tratamento em causa. A Áustria tem um entendimento semelhante. De igual modo, e mediante referência ao Acórdão do Tribunal de Justiça no processo Google Spain, a Bélgica afirma que os interesses legítimos que devem ser tidos em conta são os do responsável pelo tratamento, bem como os dos terceiros a quem foram comunicados os dados pessoais em causa.

120.

Antes de mais, importa recordar que qualquer tratamento de dados pessoais deve, em princípio, cumprir, entre outras condições, um dos critérios que tornam o tratamento de dados legítimo, os quais estão elencados no artigo 7.o da Diretiva 95/46 ( 56 ).

121.

No que respeita especialmente ao artigo 7.o, alínea f), o Tribunal de Justiça recordou que esta disposição «prevê três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber, em primeiro lugar, a prossecução de interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, em segundo lugar, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo e, em terceiro lugar, o requisito de os direitos e as liberdades fundamentais da pessoa a que a proteção de dados diz respeito não prevalecerem» ( 57 ).

122.

A Diretiva 95/46 não define nem enumera «interesses legítimos». Este conceito afigura‑se bastante flexível e aberto ( 58 ). Não existe qualquer tipo de interesse que seja excluído per se, desde que, evidentemente, seja lícito. Tal como discutido, em substância, na audiência e conforme referido acima ( 59 ), o que aparentemente está em causa no processo principal é a recolha e a transmissão de dados pessoais para fins de otimização de publicidade, embora os objetivos finais precisos da recorrida e da Facebook Ireland possam não ser exatamente os mesmos.

123.

Tendo em conta estas considerações, concordo que o marketing ou a publicidade podem, como tal, constituir um interesse legítimo desse tipo ( 60 ). É bastante difícil ir além desta afirmação no âmbito do caso em apreço, uma vez que não há informação específica sobre a forma exata como foram utilizados os dados transmitidos e obtidos, além das referidas afirmações gerais.

124.

Dito isto, o órgão jurisdicional de reenvio não questiona nem pede orientações relativamente à apreciação que deve ser feita dos interesses legítimos específicos invocados no processo principal. Na sua quarta questão, o órgão jurisdicional de reenvio pretende apenas saber quais os interesses legítimos que devem ser considerados para que o exercício de ponderação previsto no artigo 7.o, alínea f), da Diretiva 95/46 possa ser efetuado.

125.

À luz da resposta que proponho dar à segunda questão exposta acima, considero que tanto os interesses legítimos da recorrida como os da Facebook Ireland têm de ser tidos em conta, uma vez que ambas atuam como responsáveis conjuntas pelo tratamento em relação à respetiva operação de tratamento de dados pessoais.

126.

Na medida em que o seu estatuto como responsáveis conjuntos pelo tratamento implica que também compartilhem os objetivos de tratamento de dados pessoais, a existência de um interesse legítimo deve ser demonstrada relativamente a ambas, pelo menos a nível geral, conforme explicado acima. Assim, esse interesse deve ser ponderado com os direitos das pessoas em causa, conforme estabelecido na última parte do artigo 7.o, alínea f), da Diretiva 95/46 ( 61 ), dependendo esta ponderação «em princípio, das circunstâncias concretas do caso específico» ( 62 ). Recordo que o tratamento de dados em tais circunstâncias deve igualmente ser sujeito à condição de necessidade ( 63 ).

127.

À luz do exposto, a minha terceira conclusão intercalar é que, para efeitos da apreciação da possibilidade de efetuar o tratamento de dados pessoais nas condições estabelecidas no artigo 7.o, alínea f), da Diretiva 95/46, os interesses legítimos de ambos os responsáveis conjuntos pelo tratamento em questão têm de ser tidos em conta e ponderados com os direitos das pessoas em causa.

128.

Com a quinta questão, o órgão jurisdicional de reenvio pretende saber a quem deve ser dado, nas circunstâncias do caso em apreço, o consentimento exigido nos termos do artigo 7.o, alínea a), e do artigo 2.o, alínea h), da Diretiva 95/46.

129.

Com a sexta questão, o órgão jurisdicional de reenvio pretende saber se a obrigação de informação prevista no artigo 10.o da Diretiva 95/46 é aplicável, no caso em apreço, ao administrador de uma página Web (como a recorrida) que integrou o conteúdo de um terceiro e, assim, deu origem ao tratamento de dados pessoais por este terceiro.

130.

Conforme referido acima ( 64 ), foram propostas várias respostas a estas questões. No entanto, uma vez determinada a natureza exata da obrigação em causa na segunda questão, quer no que respeita à pessoa sujeita à obrigação (quem) quer no que respeita à natureza da obrigação (pelo quê), e esclarecida assim esta questão a montante, as respostas à quinta e sexta questões, relativas a determinadas obrigações a jusante, tornam‑se mais claras.

131.

Em primeiro lugar, considero que tanto o consentimento como a informação prestada devem abranger todos os aspetos da operação ou das operações de tratamento de dados pelas quais os responsáveis pelo tratamento são conjuntamente responsáveis, nomeadamente a recolha e a transmissão. Em contrapartida, estas obrigações de consentimento e de informação não são extensíveis às fases posteriores do tratamento de dados em que a recorrida não está envolvida e em relação às quais, logicamente, não determina os meios nem as finalidades.

132.

Em segundo lugar, nestas condições, é possível admitir que o consentimento pode ser dado a qualquer um dos responsáveis conjuntos pelo tratamento. No entanto, tendo em conta a situação concreta em apreço, este consentimento tem de ser dado à recorrida, uma vez que é no momento em que a sua página Web é efetivamente visitada que a operação de tratamento se inicia. Não seria obviamente conforme a uma proteção eficiente ou atempada dos direitos das pessoas em causa se o consentimento devesse ser dado apenas ao responsável conjunto pelo tratamento envolvido posteriormente (se for o caso), após a recolha e a transmissão já terem ocorrido.

133.

Uma resposta idêntica deve ser dada em relação à obrigação de informação imposta à recorrida nos termos do artigo 10.o da Diretiva 95/46. Esta disposição define uma lista de informação mínima que deve ser comunicada à pessoa em causa por parte do responsável pelo tratamento (ou pelo seu representante). Inclui os seguintes elementos: identidade do responsável pelo tratamento (ou do seu representante); finalidades do tratamento a que os dados se destinam e outras informações desde que «sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos». O artigo 10.o fornece exemplos dessas outras informações que incluem, no que pode ser considerado relevante no caso em apreço, informações sobre os destinatários dos dados ou sobre a existência do direito de acesso aos dados que digam respeito à pessoa em causa e do direito de os retificar.

134.

Tendo em conta esta lista, afigura‑se claramente que a recorrida se encontra em posição de prestar informações sobre a identidade dos responsáveis conjuntos pelo tratamento, sobre as finalidades da respetiva fase do tratamento (a operação ou operações pelas quais é responsável conjunto), bem como sobre o facto de que tais dados serão transferidos.

135.

Em contrapartida, na medida em que estão em causa o direito de acesso e o direito de retificação, considero que a própria recorrida não tem tal acesso aos dados transferidos à Facebook Ireland, uma vez que não está de forma alguma envolvida no armazenamento de dados. Assim, poderia sugerir‑se, por exemplo, que esta questão deveria ser objeto de um acordo com a Facebook Ireland.

136.

No entanto, para além dos argumentos acima apresentados ( 65 ), tais propostas tenderiam novamente a alargar as obrigações e as responsabilidades do ou dos responsáveis (conjuntos) pelo tratamento a operações pelas quais não são responsáveis. Se um controlo conjunto implica uma responsabilidade pelas operações em relação às quais existe unidade de finalidades e meios entre os responsáveis pelo tratamento, então, logicamente, as demais obrigações subsequentes previstas na diretiva, tais como o consentimento, a informação, o acesso ou a retificação, devem corresponder ao âmbito desta obrigação inigial ( 66 ).

137.

A Comissão observou igualmente na audiência que os visitantes que têm uma conta de Facebook podem ter previamente consentido nessa transferência. Isto poderia conduzir a uma responsabilidade distinta da recorrida, e aparentemente a Comissão sugere que a obrigação da recorrida de informação e de pedir o consentimento seria, assim, apenas aplicável em relação aos não utilizadores do Facebook que visitam a página Web da recorrida.

138.

Discordo. Considero difícil aceitar a ideia de que deve existir um tratamento distinto (menos protetor) em relação aos «utilizadores do Facebook» nas circunstâncias do caso em apreço por já terem aceitado a possibilidade de (todo e qualquer tipo de) tratamento dos seus dados pessoais pelo Facebook. Com efeito, tal argumento implica que, ao criar uma conta de Facebook, se aceita previamente qualquer tipo de tratamento de dados relacionado com qualquer atividade em linha de tais «utilizadores do Facebook» por qualquer terceiro que tenha uma qualquer ligação com o Facebook. Isso sucede mesmo quando não exista nenhum sinal visível da ocorrência de tal tratamento de dados (como parece ser o caso quando alguém simplesmente visita a página Web da recorrida). Por outras palavras, aceitar a proposta da Comissão significaria, de facto, que, ao criar uma conta de Facebook, um utilizador renunciou efetivamente a qualquer proteção de dados pessoais em linha em relação ao Facebook.

139.

Assim, considero que a responsabilidade e as subsequentes obrigações em matéria de consentimento e de informação que incumbem à recorrida devem ser a mesmas em relação às pessoas em causa, independentemente de terem ou não uma conta de Facebook.

140.

Além disso, é mais uma vez evidente que tal consentimento tem de ser dado e que a informação tem de ser prestada antes de os dados serem recolhidos e transferidos ( 67 ).

141.

Assim, à luz do exposto, a minha última conclusão intercalar em resposta à quinta e sexta questões é que, numa situação como a que está em apreço no processo principal, o consentimento da pessoa em causa obtido nos termos do artigo 7.o, alínea a), da Diretiva 95/46 tem de ser dado a um administrador de uma página Web, como a recorrida, que integrou o conteúdo de um terceiro. O artigo 10.o da Diretiva 95/46 deve ser interpretado no sentido de que a obrigação de informação prevista nesta disposição também é aplicável a esse administrador da página Web. O consentimento da pessoa em causa nos termos do artigo 7.o, alínea a), da Diretiva 95/46 tem de ser dado e a informação na aceção do artigo 10.o da mesma diretiva tem de ser prestada antes de os dados serem recolhidos e transferidos. No entanto, o alcance destas obrigações deve corresponder à responsabilidade conjunta do administrador pela recolha e pela transmissão dos dados pessoais.

142.

À luz do exposto, proponho que o Tribunal de Justiça responda às questões submetidas pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldorf, Alemanha) nos seguintes termos: