—

em representação da mr.nexnet GmbH, por P. Wassermann, Rechtsanwalt,

—

em representação da Comissão Europeia, por F. Wilman e F. Bulst, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 6.o, n.os 2 e 5, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201, p. 37).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a mr.nexnet GmbH (a seguir «nexnet»), cessionária de créditos relativos ao fornecimento de serviços de acesso à Internet prestados pela Verizon Deutschland GmbH (a seguir «Verizon»), a J. Probst, destinatário dos referidos serviços.

3

O artigo 16.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31), dispõe:

«Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não procederá ao seu tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais.»

4

O artigo 17.o da Diretiva 95/46 prevê:

«1.   Os Estados-Membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2.   Os Estados-Membros estabelecerão que o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar e deverá zelar pelo cumprimento dessas medidas.

3.   A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que:

4.   Para efeitos de conservação de provas, os elementos do contrato ou do ato jurídico relativos à proteção dos dados, bem como as exigências relativas às medidas referidas no n.o 1, deverão ficar consignados por escrito ou sob forma equivalente.»

5

O artigo 1.o, n.os 1 e 2, da Diretiva 2002/58 prevê:

«1.   A presente diretiva harmoniza as disposições dos Estados-Membros necessárias para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas, e para garantir a livre circulação desses dados e de equipamentos e serviços de comunicações eletrónicas na [União Europeia].

2.   Para os efeitos do n.o 1, as disposições da presente diretiva especificam e complementam a [Diretiva 95/46]. [...]»

6

O artigo 2.o, segundo parágrafo, alínea b), dessa diretiva define os «Dados de tráfego» como sendo «quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma».

7

O artigo 5.o, n.o 1, da Diretiva 2002/58 precisa:

«Os Estados-Membros garantirão, através da sua legislação nacional, a confidencialidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas publicamente disponíveis. [...]»

8

O artigo 6.o da mesma diretiva dispõe:

«1.   Sem prejuízo do disposto nos n.os 2, 3 e 5 do presente artigo […], os dados de tráfego relativos a assinantes e utilizadores tratados e armazenados pelo fornecedor de uma rede pública de comunicações ou de um serviço de comunicações eletrónicas publicamente disponíveis devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.

2.   Podem ser tratados dados de tráfego necessários para efeitos de faturação dos assinantes e de pagamento de interligações. O referido tratamento é lícito apenas até final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado.

[...]

5.   O tratamento de dados de tráfego, em conformidade com o disposto nos n.os 1 a 4, será limitado ao pessoal que trabalha para os fornecedores de redes públicas de comunicações ou de serviços de comunicações eletrónicas publicamente disponíveis encarregado da faturação ou da gestão do tráfego, das informações a clientes, da deteção de fraudes, da comercialização dos serviços de comunicações eletrónicas publicamente disponíveis, ou da prestação de um serviço de valor acrescentado, devendo ser limitado ao necessário para efeitos das referidas atividades.

[...]»

9

O § 97, n.o 1, terceiro e quarto períodos, da Lei alemã das telecomunicações (Telekommunikationsgesetz), de 22 de junho de 2004 (BGBl. 2004 I, p. 1190, a seguir «TKG»), tem a seguinte redação:

«Determinação e faturação da remuneração do prestador

[...] Se o prestador de serviços tiver celebrado com um terceiro um contrato sobre a cobrança da remuneração, pode-lhe transmitir os dados [de tráfego] na medida em que essa transmissão for necessária para a cobrança da remuneração e para a emissão de uma fatura detalhada. O terceiro deve estar vinculado contratualmente ao respeito do segredo das telecomunicações, em conformidade com o § 88, e ao respeito da proteção dos dados, em conformidade com os §§ 93, 95, 96, 97, 99 e 100.

[...]»

10

Segundo o órgão jurisdicional de reenvio, a faculdade prevista no § 97, n.o 1, terceiro período, da TKG, no domínio da transmissão de dados, vale não só para contratos de cobrança de créditos, quando estes permanecem no património dos seus titulares iniciais, mas também para outros contratos de cessão, nomeadamente contratos relativos a uma aquisição de créditos e nos termos dos quais o direito cedido pertence jurídica e economicamente de forma definitiva ao cessionário.

11

J. Probst é titular de uma linha telefónica da Deutsche Telekom AG, através da qual liga o seu computador à Internet. Entre 28 de junho e 6 de setembro de 2009, utilizou o número fornecido pela Verizon, para aceder pontualmente à Internet. Numa primeira fase, a remuneração reclamada por essa utilização foi faturada a J. Probst, pela Deutsche Telekom AG, como «montantes devidos a outros prestadores de serviços». Depois de J. Probst não ter procedido ao referido pagamento, a nexnet, cessionária desse crédito por força de um contrato de cessão de créditos celebrado entre os antecessores legais da Verizon e da nexnet, reclamou-lhe o pagamento dos montantes faturados, acrescidos de diversos custos. Nos termos do contrato de cessão de créditos, a nexnet suporta o risco relativo ao pagamento do crédito.

12

Além disso, os antecessores legais da nexnet e da Verizon celebraram um «acordo de proteção de dados e de confidencialidade» que prevê:

[...]

[...]

[...]»

13

Segundo J. Probst, o contrato de cessão de créditos é nulo na medida em que viola, nomeadamente, o § 97, n.o 1, da TKG. O Amtsgericht julgou improcedente o pedido de pagamento da nexnet, ao passo que o tribunal de segunda instância, no essencial, deu provimento ao recurso. Foi interposto recurso de «Revision» para o Bundesgerichtshof.

14

O órgão jurisdicional de reenvio considera que o artigo 6.o, n.os 2 e 5, da Diretiva 2002/58 é pertinente para a interpretação do § 97, n.o 1, da TKG. Salienta, por um lado, que o facto de «emitir faturas», que constitui um dos objetivos para os quais o artigo 6.o, n.os 2 e 5, dessa diretiva autoriza o tratamento de dados de tráfego, não engloba necessariamente a cobrança do preço faturado. Considera, contudo, que não há razão objetiva para tratar de maneira diferente a faturação e a cobrança dos créditos, face à proteção dos dados. Por outro lado, o artigo 6.o, n.o 5, da referida diretiva reserva o tratamento dos dados de tráfego apenas ao pessoal que «trabalha para» os fornecedores de redes públicas de comunicações ou de serviços de comunicações eletrónicas publicamente disponíveis (a seguir «prestador de serviços»). Segundo o órgão jurisdicional de reenvio, este conceito não permite estabelecer se o prestador de serviços deve poder concretamente determinar a utilização dos dados, incluindo caso a caso, durante toda a duração do processo de tratamento dos dados, ou se é suficiente que se prevejam regras gerais relativas ao respeito do segredo das telecomunicações e da proteção dos dados, à semelhança das acordadas, no caso vertente, nas disposições contratuais, e que seja possível obter, mediante simples pedido, a eliminação ou a devolução dos dados.

15

Nestas condições, o Bundesgerichtshof decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«O artigo 6.o, n.os 2 e 5, da Diretiva 2002/58 permite a transmissão de dados de tráfego por parte do prestador de serviços ao cessionário de um crédito relativo à remuneração de serviços de telecomunicações, nos casos em que a cessão, realizada para efeitos de cobrança dos créditos redebitados, além de estar sujeita à obrigação geral de segredo das telecomunicações e de proteção de dados prevista nos regimes legais respetivamente aplicáveis, também se baseia nas seguintes condições contratuais:

16

Com a sua questão, o órgão jurisdicional de reenvio pergunta, no essencial, se, e em que condições, o artigo 6.o, n.os 2 e 5, da Diretiva 2002/58 permite que um prestador de serviços transmita dados de tráfego ao cessionário dos seus créditos e que este trate os referidos dados.

17

Por um lado, em conformidade com o artigo 6.o, n.o 2, da Diretiva 2002/58, podem ser tratados dados de tráfego necessários para efeitos de emissão das faturas dos assinantes. Como salientam a nexnet e a Comissão Europeia, esta disposição da referida diretiva autoriza o tratamento de dados de tráfego não só para efeitos de faturação mas também para efeitos da sua cobrança. Com efeito, ao autorizar o tratamento de dados de tráfego «apenas até final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado», a referida disposição diz respeito não só ao tratamento dos dados no momento da emissão das faturas mas também ao tratamento necessário para obter o seu pagamento.

18

Por outro lado, nos termos do artigo 6.o, n.o 5, da Diretiva 2002/58, o tratamento de dados de tráfego autorizado pelo artigo 6.o, n.o 2, da mesma diretiva, «será limitado ao pessoal que trabalha para os fornecedores [de serviços] […] encarregado da faturação» e «[deve] ser limitado ao necessário» para efeitos dessa atividade.

19

Resulta da leitura conjugada destas disposições da Diretiva 2002/58 que um prestador de serviços está autorizado a transmitir dados de tráfego ao cessionário dos seus créditos, para efeitos da sua cobrança, e que este pode tratar os referidos dados, desde que, em primeiro lugar, «trabalh[e]» para o fornecedor de serviços, para efeitos do tratamento dos referidos dados, e, em segundo lugar, se limite a tratar os dados de tráfego que são necessários para efeitos da cobrança dos referidos créditos.

20

Há que observar que nem a Diretiva 2002/58 nem os documentos relevantes para a sua interpretação, como os trabalhos preparatórios, são esclarecedores quanto ao alcance da expressão «trabalha para». Nestas condições, em conformidade com a jurisprudência do Tribunal de Justiça, para a determinação do significado desta expressão, há que recorrer ao seu sentido habitual na linguagem corrente, tendo em atenção o contexto geral em que é utilizada e os objetivos prosseguidos pela regulamentação de que faz parte (v., neste sentido, acórdão de 10 de março de 2005, easyCar, C-336/03, Colet., p. I-1947, n.os 20 e 21, e de 5 de julho de 2012, Content Services, C-49/11, n.o 32).

21

No que se refere ao sentido habitual desta expressão na linguagem corrente, há que considerar que uma pessoa trabalha para outra, quando a primeira atua sob as instruções e o controlo da segunda.

22

Quanto ao contexto em que se insere o artigo 6.o da Diretiva 2002/58, deve recordar-se que o artigo 5.o, n.o 1, desta diretiva prevê que os Estados-Membros garantirão a confidencialidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas publicamente disponíveis.

23

O artigo 6.o, n.os 2 e 5, da Diretiva 2002/58 contém uma exceção à confidencialidade das comunicações prevista no seu artigo 5.o, n.o 1, ao autorizar o tratamento dos dados de tráfego, face a imperativos relacionados com a faturação dos serviços (v., neste sentido, acórdão de 29 de janeiro de 2008, Promusicae, C-275/06, Colet., p. I-271, n.o 48). Enquanto exceção, essa disposição da referida diretiva e, portanto, também a expressão «trabalha para» são de interpretação estrita [v. acórdão de 17 de fevereiro de 2011, The Number (UK) e Conduit Enterprises, C-16/10, Colet., p. I-691, n.o 31]. Uma interpretação deste tipo implica que o prestador de serviços disponha de um poder de controlo efetivo que lhe permita verificar o cumprimento, pelo cessionário dos créditos, das condições que lhe são impostas para o tratamento de dados de tráfego.

24

Esta interpretação é corroborada pelo objetivo da Diretiva 2002/58, em geral, e do seu artigo 6.o, n.o 5, em especial. Como resulta do seu artigo 1.o, n.os 1 e 2, a Diretiva 2002/58 especifica e completa, no setor das comunicações eletrónicas, a Diretiva 95/46, para efeitos, nomeadamente, de assegurar, nos Estados-Membros, um nível equivalente de proteção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas.

25

Nestas condições, o artigo 6.o, n.o 5, da Diretiva 2002/58 deve ser interpretado à luz de disposições semelhantes da Diretiva 95/46. Ora, decorre dos artigos 16.° e 17.° desta última diretiva, que especificam o nível de controlo que um responsável pelo tratamento deve exercer sob o subcontratante por ele designado, que este age unicamente sob as instruções do responsável pelo tratamento e que o referido responsável assegura o respeito das medidas acordadas para proteger os dados pessoais contra qualquer forma de tratamento ilícito.

26

Quanto ao objetivo prosseguido pelo artigo 6.o, n.o 5, da Diretiva 2002/58 em particular, deve observar-se que, ainda que esta disposição autorize o tratamento de dados de tráfego por determinadas pessoas alheias ao prestador de serviços, para efeitos, nomeadamente da cobrança de créditos desse prestador, permitindo-lhe, assim, concentrar-se na prestação de serviços de comunicações eletrónicas, a referida disposição visa garantir, ao prever que o tratamento de dados de tráfego efetuado se deve limitar ao pessoal que «trabalha para» o prestador de serviços, que essa externalização não afete o nível de proteção dos dados pessoais de que beneficia o utilizador.

27

Resulta do exposto que, independentemente da qualificação do contrato de cessão de créditos para efeitos da sua cobrança, o cessionário de um crédito sobre a remuneração de serviços de telecomunicações «trabalha para» o prestador dos referidos serviços, na aceção do artigo 6.o, n.o 5, da Diretiva 2002/58, quando, para o tratamento dos dados de tráfego que uma atividade dessa natureza implica, o cessionário atua apenas sob as instruções e o controlo do referido prestador. Em especial, o contrato celebrado entre o prestador de serviços que cede os seus créditos e o cessionário desses créditos deve incluir disposições suscetíveis de garantir o tratamento lícito de dados de tráfego por este e deve permitir ao prestador de serviços assegurar-se, a qualquer momento, do respeito das referidas disposições pelo cessionário.

28

Cabe ao órgão jurisdicional nacional verificar, face a todos os elementos dos autos, se estas condições estão preenchidas no processo principal. Ora, a circunstância de um contrato de cessão de créditos apresentar as características descritas na questão submetida milita a favor do facto de esse contrato respeitar as referidas condições. Com efeito, um contrato desse tipo permite o tratamento dos dados de tráfego pelo cessionário dos créditos apenas na medida em que esse tratamento seja necessário para efeitos de cobrança desses créditos e impõe ao referido cessionário a obrigação de eliminar ou devolver imediata e definitivamente os referidos dados, quando deixarem de ser necessários para a cobrança dos créditos em causa. Além disso, o referido contrato permite ao prestador de serviços controlar o respeito das regras de segurança e de proteção dos dados pelo cessionário, que, mediante simples pedido, pode ser obrigado a eliminar ou a devolver os dados de tráfego.

29

Em face do exposto, há que responder à questão submetida que o artigo 6.o, n.os 2 e 5, da Diretiva 2002/58 deve ser interpretado no sentido de que autoriza um prestador de serviços a transmitir ao cessionário dos seus créditos dados de tráfego sobre o fornecimento de serviços de telecomunicações, com vista à cobrança dos referidos créditos, e esse cessionário a tratar os referidos dados, desde que, em primeiro lugar, este trabalhe para o prestador de serviços, no que se refere ao tratamento desses mesmos dados, e, em segundo lugar, se limite a tratar os dados de tráfego necessários para efeitos da cobrança dos créditos cedidos.

30

Independentemente da qualificação do contrato de cessão, é suposto o cessionário trabalhar para o prestador de serviços, na aceção do artigo 6.o, n.o 5, da Diretiva 2002/58, quando, para o tratamento dos dados de tráfego, esse cessionário atue unicamente sob as instruções e o controlo do referido prestador. Em especial, o contrato celebrado entre eles deve incluir disposições suscetíveis de garantir o tratamento lícito, pelo cessionário, dos dados de tráfego e permitir ao prestador de serviços assegurar-se, a qualquer momento, do respeito dessas disposições pelo dito cessionário.

31

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

O artigo 6.o, n.os 2 e 5, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), deve ser interpretado no sentido de que autoriza um fornecedor de redes públicas de comunicações e de serviços de comunicações eletrónicas publicamente disponíveis a transmitir ao cessionário dos seus créditos dados de tráfego sobre o fornecimento de serviços de telecomunicações, com vista à cobrança dos referidos créditos, e esse cessionário a tratar os referidos dados, desde que, em primeiro lugar, este trabalhe para o prestador de serviços, no que se refere ao tratamento desses mesmos dados, e, em segundo lugar, se limite a tratar os dados de tráfego necessários para efeitos da cobrança dos créditos cedidos.

Independentemente da qualificação do contrato de cessão, é suposto o cessionário trabalhar para o prestador de serviços, na aceção do artigo 6.o, n.o 5, da Diretiva 2002/58, quando, para o tratamento dos dados de tráfego, esse cessionário atue unicamente sob as instruções e o controlo do referido prestador. Em especial, o contrato celebrado entre eles deve incluir disposições suscetíveis de garantir o tratamento lícito, pelo cessionário, dos dados de tráfego e permitir ao prestador de serviços assegurar-se, a qualquer momento, do respeito dessas disposições pelo dito cessionário.