CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:874

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quinta Secção)

16 de novembro de 2023 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva (UE) 2016/680 — Artigo 17.o — Exercício dos direitos do titular dos dados através da autoridade de controlo — Verificação da licitude do tratamento dos dados — Artigo 17.o, n.o 3 — Obrigação mínima de informação do titular dos dados — Alcance — Validade — Artigo 53.o — Direito de intentar ação judicial contra uma autoridade de controlo — Conceito de “decisão juridicamente vinculativa” — Carta dos Direitos Fundamentais da União Europeia — Artigo 8.o, n.o 3 — Controlo por uma autoridade independente — Artigo 47.o — Direito à tutela jurisdicional efetiva»

No processo C‑333/22,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pela cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica), por Decisão de 9 de maio de 2022, que deu entrada no Tribunal de Justiça em 20 de maio de 2022, no processo

Ligue des droits humains ASBL,

contra

Organe de contrôle de l’information policière,

O TRIBUNAL DE JUSTIÇA (Quinta Secção),

composto por: E. Regan, presidente de secção, Z. Csehi, M. Ilešič, I. Jarukaitis e D. Gratsias (relator), juízes,

advogado‑geral: L. Medina,

secretário: M. Siekierzyńska, administradora,

vistos os autos e após a audiência de 29 de março de 2023,

vistas as observações apresentadas:

– em representação da Ligue des droits humains ASBL e de BA, por C. Forget, avocate,

– em representação do Organe de contrôle de l’information policière (OCIP), por J. Bosquet, advocaat, e J.‑F. De Bock, advocaten,

– em representação do Governo Belga, por P. Cottin, J.‑C. Halleux, C. Pochet e A. Van Baelen, na qualidade de agentes, assistidos por N. Cariat, C. Fischer, B. Lombaert e J. Simba, avocats,

– em representação do Governo Checo, por O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes,

– em representação do Governo Francês, por J. Illouz, na qualidade de agente,

– em representação do Parlamento Europeu, por S. Alonso de León, O. Hrstková Šolcová, P. López‑Carceller e M. Thibault, na qualidade de agentes,

– em representação da Comissão Europeia, por A. Bouchagiar, H. Kranenborg, A.‑C. Simon e F. Wilman, na qualidade de agentes,

ouvidas as conclusões da advogada‑geral na audiência de 15 de junho de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto, por um lado, a interpretação do artigo 8.^o, n.^o 3, e do artigo 47.^o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») e, por outro, a validade, à luz das disposições acima referidas da Carta, do artigo 17.^o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).

2 Este pedido foi apresentado no âmbito de um litígio que opõe a Ligue des droits humains ASBL e BA ao Organe de contrôle de l’information policière (OCIP) (Órgão de Controlo da Informação Policial, Bélgica) a respeito do exercício, através deste órgão, dos direitos de BA relativos aos dados pessoais que lhe dizem respeito, tratados pelos serviços de polícia belgas e com base nos quais a Autorité nationale de sécurité (Autoridade Nacional de Segurança, Bélgica) indeferiu um pedido de emissão do certificado de credenciação de segurança apresentado pelo recorrente pessoa singular.

Quadro jurídico

Direito da União

3 Os considerandos 7, 10, 43, 46, 48, 75, 82, 85 e 86 da Diretiva 2016/680 enunciam:

«(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados‑Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, o nível de proteção dos direitos e liberdades individuais no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais — incluindo a salvaguarda e a prevenção de ameaças à segurança pública — deverá ser equivalente em todos os Estados‑Membros. A proteção eficaz dos dados pessoais na União [Europeia] exige não só que sejam reforçados os direitos dos titulares dos dados e as obrigações de quem trata dados pessoais, mas também que haja reforço dos poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados‑Membros.

[…]

(10) Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições específicas sobre proteção de dados pessoais e sobre a livre circulação dos dados pessoais, nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.^o [TFUE].

[…]

(43) As pessoas singulares deverão ter o direito de aceder aos dados recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razoáveis, a fim de tomar conhecimento do tratamento e verificar a sua licitude. […]

[…]

(46) As restrições dos direitos do titular dos dados devem respeitar a Carta e a [Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de novembro de 1950], de acordo com a interpretação na jurisprudência do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem, respetivamente, e devem respeitar, em particular, o conteúdo essencial desses direitos e liberdades.

[…]

(48) Caso o responsável pelo tratamento recuse ao titular dos dados o direito à informação, o acesso aos dados pessoais ou a sua retificação ou apagamento ou a limitação do tratamento, o titular dos dados deverá ter o direito de solicitar que a autoridade nacional de controlo verifique a licitude do tratamento. […]

[…]

(75) A criação de autoridades de controlo nos Estados‑Membros, com total independência no exercício das suas atribuições, constitui um elemento essencial da proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. As autoridades de controlo deverão fiscalizar a aplicação das disposições adotadas por força da presente diretiva e deverão contribuir para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais. […]

[…]

(82) A fim de assegurar o controlo eficaz, fiável e coerente da conformidade com a presente diretiva e da sua aplicação em toda a União e nos termos do TFUE, conforme interpretado pelo Tribunal de Justiça, as autoridades de controlo deverão ter, em cada Estado‑Membro, as mesmas atribuições e poderes, incluindo poderes de investigação e de correção, bem como funções consultivas, que constituem meios necessários no exercício das suas atribuições. […]

[…]

(85) Os titulares de dados deverão ter direito a apresentar reclamação a uma autoridade de controlo única e a intentar uma ação judicial, nos termos do artigo 47.^o da Carta, se considerarem que os direitos que lhes são conferidos por disposições adotadas por força da presente diretiva foram violados ou a autoridade de controlo não responder à reclamação, a recusar ou rejeitar, total ou parcialmente, ou não tomar as iniciativas necessárias para proteger os seus direitos. […]

(86) Todas as pessoas, singulares ou coletivas, deverão ter direito a intentar uma ação judicial perante os tribunais nacionais competentes contra as decisões das autoridades de controlo que produzam efeitos jurídicos que lhes digam respeito. Tais decisões prendem‑se, em especial, com o exercício de poderes de investigação, correção e autorização pelas autoridades de controlo ou com a recusa ou rejeição de reclamações. Porém, este direito não abrange outras medidas das autoridades de controlo que não sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado pela autoridade de controlo. As ações contra as autoridades de controlo deverão ser instauradas nos tribunais do Estado‑Membro em cujo território a autoridade de controlo esteja estabelecida e deverão ser conduzidas nos termos do direito desse Estado‑Membro. Estes tribunais deverão ter jurisdição plena, incluindo o poder de analisar todas as questões de facto e de direito relevantes para o litígio.»

4 O artigo 1.^o desta diretiva, sob a epígrafe «Objeto e objetivos», dispõe, nos seus n.^os 1 e 2:

«1. A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.

2. Nos termos da presente diretiva, os Estados‑Membros asseguram:

a) A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais; e

b) Que o intercâmbio de dados pessoais entre autoridades competentes na União, caso seja previsto pelo direito da União ou do Estado‑Membro, não seja limitado nem proibido por razões relacionadas com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.»

5 A referida diretiva contém um capítulo III, intitulado «Direitos do titular dos dados», o qual inclui, nomeadamente, os artigos 13.^o a 17.^o desta. Este artigo 13.^o, sob a epígrafe «Informações a facultar ou a fornecer ao titular dos dados», enuncia, no n.^o 1, a obrigação de os Estados‑Membros preverem que o responsável pelo tratamento faculte ao titular dos dados um mínimo de informações como, nomeadamente, a identidade e os contactos do responsável pelo tratamento. Além disso, enumera, no seu n.^o 2, as informações adicionais que os Estados‑Membros devem impor, por lei, ao responsável pelo tratamento para que as forneça ao titular dos dados, a fim de permitir a este exercer os seus direitos. Nos seus n.^os 3 e 4, enuncia:

«3. Os Estados‑Membros podem adotar medidas legislativas que prevejam o adiamento, a limitação ou a não prestação aos titulares dos dados das informações a que se refere o n.^o 2 se e enquanto tais medidas constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

4. Os Estados‑Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das alíneas do n.^o 3.»

6 O artigo 14.^o da mesma diretiva, sob a epígrafe «Direito de acesso do titular dos dados aos seus dados pessoais», tem a seguinte redação:

«Sem prejuízo do artigo 15.^o, os Estados‑Membros preveem que o titular dos dados tenha o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento e, em caso afirmativo, acesso aos seus dados pessoais […]»

7 Nos termos do artigo 15.^o da Diretiva 2016/680, sob a epígrafe «Limitações do direito de acesso»:

«1. Os Estados‑Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto tal limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

2. Os Estados‑Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das categorias previstas no n.^o 1.

3. Nos casos a que se referem os n.^os 1 e 2, os Estados‑Membros preveem que o responsável pelo tratamento informe por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.^o 1. Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito que lhe assiste de apresentar reclamação à autoridade de controlo ou de intentar uma ação judicial.

4. Os Estados‑Membros preveem que o responsável pelo tratamento detalhe os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada às autoridades de controlo.»

8 O artigo 16.^o desta diretiva, sob a epígrafe «Direito de retificação ou apagamento dos dados pessoais e limitação do tratamento», dispõe:

«1. Os Estados‑Membros preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta a finalidade do tratamento, os Estados‑Membros preveem que o titular dos dados tenha direito a que os seus dados pessoais incompletos sejam completados, […]

2. Os Estados‑Membros exigem que o responsável pelo tratamento apague os dados pessoais sem demora injustificada e preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito caso o tratamento infrinja as disposições adotadas nos termos dos artigos 4.^o, 8.^o ou 10.^o, ou caso os dados pessoais tenham de ser apagados a fim de cumprir uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

3. Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento caso:

a) O titular dos dados conteste a exatidão dos dados pessoais e a sua exatidão ou inexatidão não possa ser apurada; ou

b) Os dados pessoais tenham de ser conservados para efeitos de prova.

[…]

4. Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados, por escrito, de todos os casos de recusa da retificação ou do apagamento de dados pessoais ou da limitação do tratamento, e dos motivos da recusa. Os Estados‑Membros podem adotar medidas legislativas que limitem, total ou parcialmente, a obrigação de fornecer essas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito de apresentar reclamação à autoridade de controlo ou de intentar ação judicial.

[…]»

9 O artigo 17.^o da referida diretiva, sob a epígrafe «Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo», prevê:

«1. Nos casos referidos no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3[,] e no artigo 16.^o, n.^o 4, os Estados‑Membros adotam medidas que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos através da autoridade de controlo competente.

2. Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados que os seus direitos podem ser exercidos através da autoridade de controlo nos termos do n.^o 1.

3. Se for exercido o direito referido no n.^o 1, a autoridade de controlo informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame. A autoridade de controlo informa também o titular dos dados acerca do seu direito de intentar ação judicial.»

10 O artigo 42.^o da mesma diretiva, sob a epígrafe «Independência», estabelece, no seu n.^o 1:

«Os Estados‑Membros preveem que cada autoridade de controlo aja com total independência no exercício das suas atribuições e dos poderes que lhe forem atribuídos nos termos da presente diretiva.»

11 O artigo 46.^o da Diretiva 2016/680, sob a epígrafe «Atribuições», dispõe, no seu n.^o 1:

«Os Estados‑Membros preveem que, no território respetivo, cada autoridade de controlo:

a) Fiscalize e faça aplicar a presente diretiva e as suas medidas de execução;

[…]

f) Trate de reclamações apresentadas pelos titulares de dados […], e investigue, na medida do necessário, o conteúdo da reclamação, informando o autor da reclamação do andamento e do resultado da investigação num prazo razoável, […]

g) Verifique a licitude do tratamento nos termos do artigo 17.^o e, num prazo razoável, informe o respetivo titular do resultado da verificação, conforme previsto no n.^o 3 desse artigo, ou dos motivos que impediram a sua realização;

[…]»

12 Nos termos do artigo 47.^o desta diretiva, sob a epígrafe «Poderes»:

«1. Cada Estado‑Membro prevê, por lei, que a sua autoridade de controlo detenha poderes de investigação efetivos. Esses poderes incluem, pelo menos, o poder de obter do responsável pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de tratamento e a todas as informações necessárias ao exercício das suas atribuições.

2. Cada Estado‑Membro prevê, por lei, que a sua autoridade de controlo tenha poderes de correção efetivos, como, por exemplo:

a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de tratamento previstas são suscetíveis de violar as disposições adotadas por força da presente diretiva;

b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que, na medida do necessário, proceda por forma a que as operações de tratamento cumpram as disposições adotadas por força da presente diretiva, de determinada forma e num prazo determinado; em especial, ordenar a retificação ou apagamento dos dados pessoais ou a limitação [do] tratamento nos termos do artigo 16.^o;

c) Impor uma limitação temporária ou definitiva, inclusive uma proibição, ao tratamento.

[…]

4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, incluindo o direito à ação judicial e a um processo equitativo, previstas no direito da União e dos Estados‑Membros em conformidade com a Carta.

[…]»

13 O artigo 52.^o da referida diretiva, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», prevê, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os Estados‑Membros preveem que todos os titulares de dados têm o direito de apresentar reclamação a uma autoridade de controlo única, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diz respeito viola as disposições adotadas por força da presente diretiva.»

14 O artigo 53.^o da mesma diretiva, sob a epígrafe «Direito de intentar ação judicial contra uma autoridade de controlo», estabelece, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os Estados‑Membros preveem que as pessoas singulares ou coletivas tenham o direito de intentar ação judicial contra qualquer decisão juridicamente vinculativa tomada por uma autoridade de controlo que lhes diga respeito.»

15 O artigo 54.^o da Diretiva 2016/680, sob a epígrafe «Direito de intentar uma ação judicial contra um responsável pelo tratamento de dados ou um subcontratante», tem a seguinte redação:

«Sem prejuízo de qualquer via de recurso administrativo ou extrajudicial disponível, nomeadamente o direito de apresentar reclamação junto de uma autoridade de controlo nos termos do artigo 52.^o, os Estados‑Membros preveem que os titulares dos dados têm o direito de intentar ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos das disposições adotadas por força da presente diretiva na sequência de um tratamento dos seus dados pessoais que não cumpra tais disposições.»

Direito belga

16 A loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Lei relativa à Proteção das Pessoas Singulares quanto ao Tratamento de Dados Pessoais), de 30 de julho de 2018 (Moniteur belge, de 5 de setembro de 2018, p. 68616, a seguir «LPD»), transpõe, no seu título 2, a Diretiva 2016/680. Os direitos enunciados nos artigos 13.^o a 16.^o desta diretiva estão previstos no capítulo III do referido título, mais precisamente nos artigos 37.^o a 39.^o da lei mencionada.

17 O artigo 42.^o da LPD dispõe:

«O pedido de exercício dos direitos referidos no presente capítulo relativamente às autoridades policiais […] ou à inspection générale de la police fédérale et de la police locale (Inspeção Geral da Polícia Federal e da Polícia Local) é dirigido à autoridade de controlo referida no artigo 71.^o

Nos casos previstos nos artigos 37.^o, § 2, 38.^o, § 2, [e] 39.^o, § 4, a autoridade de controlo referida no artigo 71.^o apenas comunica ao titular dos dados que foram efetuadas as verificações necessárias.

Sem prejuízo do n.^o 2, a autoridade de controlo referida no artigo 71.^o pode comunicar determinadas informações contextuais à pessoa em causa.

O Rei determina, após parecer da autoridade de controlo referida no artigo 71.^o, a categoria de informações contextuais que podem ser comunicadas à pessoa em causa por esta autoridade.»

18 Segundo a cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica), não foi emitido nenhum decreto real para dar execução ao artigo 42.^o, quarto parágrafo, da LPD.

19 Nos termos do artigo 71.^o, § 1, da LPD:

«É criada junto da Chambre des représentants (Câmara dos Representantes) uma autoridade de controlo independente de informação policial, denominada Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial).

[…]

[Será] encarregada de:

1.^o fiscalizar a aplicação do presente título […]

2.^o controlar o tratamento das informações e dos dados pessoais referidos nos artigos 44/1 a 44/11/13 da loi du 5 août 1992 sur la fonction de police (Lei de 5 de agosto de 1992, relativa à Função Policial), incluindo as constantes das bases de dados referidas no artigo 44/2 da mesma lei;

3.^o qualquer outra atribuição organizada por ou ao abrigo de outras leis.»

20 O capítulo I do título 5 da LPD intitula‑se «Ação inibitória». O artigo 209.^o, que figura neste capítulo, tem a seguinte redação:

«Sem prejuízo de outras vias de recurso judiciais, administrativas ou extrajudiciais, o presidente do tribunal de première instance (Tribunal de Primeira Instância), decidindo em sede de procedimento cautelar, pode verificar a existência de um tratamento que constitua violação das disposições legais ou regulamentares relativas à proteção das pessoas singulares quanto ao tratamento dos seus dados pessoais e ordenar a sua cessação.

O presidente do tribunal de première instance (Tribunal de Primeira Instância), decidindo em sede de procedimento cautelar, conhece dos pedidos relativos ao direito concedido por lei ou por força da lei de obtenção de acesso a dados pessoais, bem como dos pedidos de retificação, supressão ou proibição de utilização de dados pessoais incorretos ou, tendo em conta o objetivo do tratamento, incompletos ou irrelevantes, ou cujo registo, comunicação ou conservação sejam proibidos e a cujo tratamento o titular de dados se opôs ou que foram conservados para além do período autorizado.»

21 O artigo 240.^o, n.^o 4, da LPD dispõe que o OCIP:

«[O OCIP]

4.^o trata das reclamações, investiga, quando necessário, o objeto da reclamação e informa o autor da reclamação do andamento e do resultado da investigação num prazo razoável, nomeadamente quando for necessário uma investigação complementar ou cooperar com outra autoridade de controlo. […]»

Litígio no processo principal e questões prejudiciais

22 No decurso de 2016, BA, então trabalhador a tempo parcial por conta de uma associação sem fins lucrativos, solicitou à Autorité nationale de sécurité (Autoridade Nacional de Segurança) um certificado de credenciação de segurança para poder participar na montagem e desmontagem das instalações da décima edição das «Jornadas Europeias do Desenvolvimento» em Bruxelas (Bélgica).

23 Por carta de 22 de junho de 2016, essa autoridade recusou a emissão do certificado de credenciação de segurança a BA com o fundamento de que resultava dos dados pessoais que lhe tinham sido disponibilizados que o mesmo tinha participado em dez manifestações, entre 2007 e 2016, e que esses elementos não permitiam atribuir‑lhe tal credenciação no âmbito da regulamentação aplicável, nomeadamente por razões de segurança do Estado e de perenidade da ordem democrática constitucional. Não foi interposto recurso dessa decisão.

24 Em 4 de fevereiro de 2020, o advogado de BA pediu ao OCIP que identificasse os responsáveis pelo tratamento de dados pessoais em causa e lhes ordenasse que dessem acesso ao seu cliente a todas as informações que lhe diziam respeito, a fim de lhe permitir exercer os seus direitos nos prazos adequados.

25 Por mensagem de correio eletrónico de 6 de fevereiro de 2020, o OCIP acusou a receção deste pedido. Referiu que BA apenas dispunha do direito de acesso indireto a esses dados, tendo simultaneamente garantido que ele próprio iria verificar a legalidade de um eventual tratamento de dados na Banque de données nationale générale (Banco Geral Nacional de Dados), a saber, a base de dados utilizada por todos os serviços de polícia nacionais. Além disso, precisou que tinha poderes para ordenar à polícia que suprimisse ou alterasse os dados, se necessário, e que, na sequência desse controlo, informaria BA de que tinham sido efetuadas as verificações necessárias.

26 Por mensagem de correio eletrónico de 22 de junho de 2020, o OCIP deu conhecimento ao advogado de BA do seguinte:

«[…]

Informo V. Ex.^a de que o [OCIP] procedeu, nos termos do artigo 42.^o da [LPD], às verificações necessárias.

Isto significa que os dados pessoais do seu cliente foram verificados nos bancos de dados policiais com vista a garantir a licitude do tratamento.

Se necessário, os dados pessoais foram alterados ou suprimidos.

Conforme indicado na nossa mensagem de correio eletrónico de 2 de junho, o artigo 42.^o da LPD não permite ao [OCIP] comunicar informações adicionais.»

27 Em 2 de setembro de 2020, a Ligue des droits humains e BA apresentaram, com base no artigo 209.^o, segundo parágrafo, da LPD, um pedido de medidas provisórias no tribunal de première instance francophone de Bruxelles (Tribunal de Primeira Instância de Língua Francesa de Bruxelas, Bélgica).

28 Em primeiro lugar, os recorrentes no processo principal solicitaram a esse órgão jurisdicional que declarasse admissível o seu pedido de medidas provisórias e que, a título subsidiário, submetesse ao Tribunal de Justiça a questão de saber, em substância, se o artigo 47.^o, n.^o 4, da Diretiva 2016/680, lido à luz dos considerandos 85 e 86 desta diretiva e em conjugação com o artigo 8.^o, n.^o 3, e com o artigo 47.^o da Carta, se opunha aos artigos 42.^o e 71.^o da LPD, na medida em que estes não previam a possibilidade de intentar ações judiciais contra as decisões adotadas pelo OCIP.

29 Em segundo lugar, quanto ao mérito da ação, pediram o acesso a todos os dados pessoais relativos a BA, através do OCIP, e a identificação, por este último, dos responsáveis pelo tratamento e dos eventuais destinatários desses dados.

30 Se o órgão jurisdicional chamado a pronunciar‑se viesse a considerar que o artigo 42.^o, n.^o 2, da LPD permite limitar sistematicamente o acesso aos dados pessoais tratados pelas autoridades policiais, solicitavam, a título subsidiário, que o Tribunal de Justiça se pronunciasse, em substância, sobre a questão de saber se os artigos 14.^o, 15.^o e 17.^o da Diretiva 2016/680, em conjugação com os artigos 8.^o, 47.^o e 52.^o, n.^o 1, da Carta, deviam ser interpretados no sentido de que se opõem a uma legislação nacional que admite uma derrogação geral e sistemática do direito de acesso aos dados pessoais, uma vez que, por um lado, esse direito é exercido através da autoridade de controlo, e, por outro, que esta se pode limitar a indicar ao titular dos dados que procedeu a todas as verificações necessárias sem o informar dos dados pessoais objeto de tratamento e dos destinatários, independentemente do objetivo prosseguido.

31 Por Despacho de 17 de maio de 2021, o tribunal de première instance francophone de Bruxelles (Tribunal de Primeira Instância de Língua Francesa de Bruxelas) declarou‑se «incompetente» para conhecer deste pedido de medidas provisórias.

32 Por petição de 15 de junho de 2021, apresentada na cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas), os recorrentes no processo principal interpuseram recurso desse despacho. Reiteraram, no essencial, os pedidos que tinham apresentado em primeira instância.

33 Neste contexto, o órgão jurisdicional de reenvio salienta, nomeadamente, em substância, que, no caso de uma pessoa não dispor do direito de exercer pessoalmente os direitos previstos pela Diretiva 2016/680, a ação inibitória prevista nos artigos 209.^o e seguintes da LPD não pode ser intentada. Com efeito, antes de mais, essa ação pode ser intentada contra o responsável pelo tratamento, mas não contra a própria autoridade de controlo. Em seguida, também não pode ser intentada por essa pessoa, neste caso BA, contra o responsável pelo tratamento, uma vez que o exercício dos seus direitos está confiado à referida autoridade. Por último, a informação particularmente sucinta fornecida pelo OCIP a BA não permite a este último nem a um órgão jurisdicional apreciar se esta autoridade de controlo exerceu corretamente os direitos desta pessoa. Acrescenta que, embora a LPD preveja que esta ação inibitória não obsta a qualquer outra via de recurso judicial, administrativo ou extrajudicial, o exercício de alguma destas vias de recurso por BA depararia com as mesmas dificuldades.

34 Nestas circunstâncias, a cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) [O artigo] 47.^o e [o artigo] 8.^o, n.^o 3, da [Carta] impõem que se preveja a possibilidade de intentar uma ação judicial contra a autoridade de controlo independente, como o [OCIP], quando este exerce os direitos do titular dos dados relativamente ao responsável pelo tratamento?

2) O artigo 17.^o da Diretiva 2016/680 é compatível com [o artigo] 47.^o e [o artigo] 8.^o, n.^o 3, da [Carta], conforme interpretados pelo Tribunal de Justiça, na medida em que só obriga a autoridade de controlo — que exerce os direitos do titular dos dados perante o responsável pelo tratamento — a informar essa pessoa “de que procedeu a todas as verificações necessárias ou a um reexame” e “do seu direito de intentar ação judicial”, quando tal informação não permite um controlo a posteriori da ação e da apreciação da autoridade de controlo relativamente aos dados do respetivo titular e às obrigações que incumbem ao responsável pelo tratamento?»

Quanto às questões prejudiciais

Quanto à primeira questão

35 A título preliminar, resulta do pedido de decisão prejudicial que as questões do órgão jurisdicional de reenvio dizem respeito à existência, com fundamento no artigo 53.^o, n.^o 1, da Diretiva 2016/680, lido à luz do artigo 47.^o da Carta, de uma obrigação de os Estados‑Membros preverem o direito à ação judicial contra a autoridade nacional de controlo competente quando é aplicada uma disposição de direito nacional que transpõe o artigo 17.^o desta diretiva, segundo o qual, nos casos previstos no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3, e no artigo 16.^o, n.^o 4, da referida diretiva, os direitos do titular dos dados podem ser exercidos através dessa autoridade de controlo.

36 Além disso, importa salientar que a resposta a esta questão depende da natureza e alcance das atribuições e dos poderes da autoridade de controlo no âmbito do exercício dos direitos do titular dos dados, previsto no artigo 17.^o da Diretiva 2016/680. Ora, estes são especificados no artigo 46.^o, n.^o 1, alínea g), e no artigo 47, n.^os 1 e 2, desta diretiva e devem ser analisadas à luz do artigo 8.^o, n.^o 3, da Carta, que exige que o cumprimento das regras relativas à proteção dos dados pessoais, enunciadas nos n.^os 1 e 2 deste artigo 8.^o, fica sujeito a fiscalização por parte de uma autoridade independente.

37 Por conseguinte, deve entender‑se que, com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.^o da Diretiva 2016/680, em conjugação com o artigo 46.^o, n.^o 1, alínea g), o artigo 47.^o, n.^os 1 e 2, e o artigo 53.^o, n.^o 1, desta diretiva, bem como com o artigo 8.^o, n.^o 3, e o artigo 47.^o da Carta, deve ser interpretado no sentido de que, quando os direitos de uma pessoa tenham sido exercidos, nos termos do referido artigo 17.^o, através da autoridade de controlo competente, essa pessoa deve dispor de uma ação judicial contra a referida autoridade.

38 Importa começar por recordar que, nos termos do artigo 53.^o, n.^o 1, da Diretiva 2016/680, os Estados‑Membros devem prever que as pessoas singulares ou coletivas têm o direito de intentar ação judicial contra qualquer decisão juridicamente vinculativa tomada por uma autoridade de controlo que lhes diga respeito.

39 Por conseguinte, há que determinar se uma autoridade de controlo profere tal decisão quando, nos termos do artigo 17.^o da referida diretiva, os direitos dos titulares dos dados enunciados pela mesma diretiva sejam exercidos através dessa autoridade de controlo.

40 A este respeito, deve salientar‑se que, nos termos do artigo 17.^o, n.^o 1, da Diretiva 2016/680, «[n]os casos referidos no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3[,] e no artigo 16.^o, n.^o 4», desta diretiva, os Estados‑Membros têm a obrigação de adotar medidas «que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos através da autoridade de controlo competente».

41 Conforme indica a utilização do advérbio «igualmente» e como salientou, em substância, a advogada‑geral nos n.^os 41 e 42 das suas conclusões, o exercício indireto dos direitos do titular dos dados através da autoridade de controlo competente, previsto nesta disposição, constitui uma garantia adicional dada a essa pessoa de que os seus dados pessoais serão tratados de forma lícita, quando as disposições legislativas nacionais limitem o exercício direto junto do responsável pelo tratamento do direito de receber informações adicionais, referido no artigo 13.^o, n.^o 2, da Diretiva 2016/680, do direito de acesso a esses dados, enunciado no artigo 14.^o desta diretiva, ou do direito de obter a sua retificação, o seu apagamento ou a limitação do tratamento nas condições do artigo 16.^o, n.^os 1 a 3, da referida diretiva.

42 Com efeito, atendendo à natureza específica das finalidades para as quais são efetuados os tratamentos de dados abrangidos pela mesma diretiva, sublinhadas, nomeadamente, no seu considerando 10, o artigo 13.^o, n.^o 3, e o artigo 15.^o, n.^o 1, da Diretiva 2016/680 autorizam o legislador nacional a limitar o exercício direto, por um lado, do direito à informação e, por outro, do direito de acesso, «se e enquanto tal limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa» a fim de «evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais», «evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais», «proteger a segurança pública», «proteger a segurança nacional» ou «proteger os direitos e as liberdades de terceiros». Além disso, o artigo 15.^o, n.^o 3, dessa diretiva prevê que o responsável pelo tratamento pode omitir a informação ao titular dos dados sobre qualquer recusa ou limitação de acesso, bem como sobre os motivos de recusa ou da limitação, caso a prestação dessa informação possa prejudicar uma das finalidades de interesse público acima referidas.

43 Do mesmo modo, o artigo 16.^o, n.^o 4, da referida diretiva autoriza o legislador nacional a limitar a obrigação do responsável pelo tratamento de «inform[ar] o titular dos dados, por escrito, de todos os casos de recusa da retificação ou do apagamento de dados pessoais ou da limitação do tratamento, e dos motivos da recusa» para as mesmas finalidades de interesse público, «na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa».

44 Por conseguinte, neste contexto, como resulta do considerando 48 da mesma diretiva, o exercício indireto dos direitos referidos no n.^o 41 do presente acórdão através da autoridade de controlo competente deve ser considerado necessário para a proteção desses direitos, uma vez que o seu exercício direto junto do responsável pelo tratamento se revela difícil ou mesmo impossível.

45 Para este efeito, o artigo 46.^o, n.^o 1, alínea g), da Diretiva 2016/680 exige que cada autoridade nacional competente tenha por atribuição verificar a licitude do tratamento nos termos do artigo 17.^o dessa diretiva, a saber, na sequência de um pedido baseado nesta última disposição.

46 Por outro lado, resulta nomeadamente do artigo 47.^o, n.^os 1 e 2, da referida diretiva que cada autoridade de controlo deve dispor, por força da legislação nacional, não só de «poderes de investigação efetivos» como também de «poderes de correção efetivos».

47 Estas disposições devem ser lidas à luz do requisito enunciado no artigo 8.^o, n.^o 3, da Carta, segundo a qual o cumprimento das regras relativas ao direito de cada pessoa à proteção dos dados pessoais, enunciadas nos n.^os 1 e 2 deste artigo, fica sujeito a «fiscalização por parte de uma autoridade independente», nomeadamente a enunciada no segundo período do referido n.^o 2, nos termos da qual «[t]odas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação». Com efeito, como confirmado em jurisprudência constante, a criação de uma autoridade de fiscalização independente visa assegurar a eficácia e a fiabilidade da fiscalização do cumprimento das regras em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e deve ser interpretada à luz deste objetivo [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.^o 229 e jurisprudência referida].

48 Assim, quando essa autoridade de controlo atua com vista a garantir o exercício dos direitos do titular dos dados com fundamento no artigo 17.^o da Diretiva 2016/680, as suas atribuições inscrevem‑se plenamente na definição, pelo direito primário da União, do seu papel, uma vez que esta definição implica, nomeadamente, a fiscalização do cumprimento dos direitos de acesso e de retificação daquele titular. Daqui resulta que, quando exerce esta atribuição específica, como no âmbito de qualquer outra atribuição, a autoridade de controlo deve poder exercer com total independência os poderes que lhe são conferidos pelo artigo 47.^o dessa diretiva, em conformidade com a Carta e como enuncia o considerando 75 da referida diretiva.

49 Além disso, no termo da verificação da licitude do tratamento, a autoridade de controlo competente deve, nos termos do artigo 17.^o, n.^o 3, primeiro período, da mesma diretiva, informar, «pelo menos», o titular dos dados «de que procedeu a todas as verificações necessárias ou a um reexame».

50 Como salienta, em substância, a advogada‑geral no n.^o 65 das suas conclusões, deve deduzir‑se de todas estas disposições que, quando a autoridade de controlo informa o titular dos dados do resultado da verificação que efetuou, dá conhecimento à mesma da decisão que tomou a seu respeito de encerrar o processo de verificação, decisão que afeta necessariamente a situação jurídica dessa pessoa. Esta decisão constitui, portanto, em relação a esta, uma «decisão juridicamente vinculativa», na aceção do artigo 53.^o, n.^o 1, da Diretiva 2016/680, independentemente da questão de saber se e em que medida essa autoridade constatou a licitude do tratamento de dados relativos a essa pessoa e exerceu poderes corretivos.

51 Além disso, o considerando 86 desta diretiva enuncia que o conceito de «decisão juridicamente vinculativa», na aceção da referida diretiva, deve ser entendido como uma decisão que produza efeitos jurídicos que digam respeito ao titular dos dados, em especial, uma decisão que se prenda com o exercício de poderes de investigação, correção e autorização pelas autoridades de controlo ou com a recusa ou rejeição de reclamações.

52 Por conseguinte, o titular dos dados tem de poder obter uma fiscalização judicial do mérito dessa decisão com base no artigo 53.^o, n.^o 1, da Diretiva 2016/680 e, em especial, da forma como a autoridade de controlo cumpriu a sua obrigação, resultante do artigo 17.^o dessa diretiva e para o qual remete o artigo 46.^o, n.^o 1, alínea g), da referida diretiva, de «proceder a todas as verificações necessárias» e, se for caso disso, de exercício dos seus poderes corretivos.

53 Esta conclusão é, de resto, corroborada pelo considerando 85 da Diretiva 2016/680, do qual resulta que os titulares de dados deverão ter direito à ação judicial contra uma autoridade de controlo se esta autoridade «não tomar as iniciativas necessárias para proteger os seus direitos».

54 Por último, esta interpretação é conforme com o artigo 47.^o da Carta, uma vez que, tal como resulta de jurisprudência constante, este direito tem de ser reconhecido a qualquer pessoa que invoque direitos ou liberdades garantidos pelo direito da União contra uma decisão lesiva, suscetível de violar esses direitos ou liberdades [v., neste sentido, Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia), C‑205/21, EU:C:2023:49, n.^o 87 e jurisprudência referida].

55 Atendendo a todas as considerações precedentes, há que responder à primeira questão que o artigo 17.^o da Diretiva 2016/680, lido em conjugação com o artigo 46.^o, n.^o 1, alínea g), o artigo 47.^o, n.^os 1 e 2, e o artigo 53.^o, n.^o 1, desta diretiva, bem como com o artigo 8.^o, n.^o 3, e o artigo 47.^o da Carta, deve ser interpretado no sentido de que quando os direitos de uma pessoa tenham sido exercidos, nos termos do referido artigo 17.^o, através da autoridade de controlo competente e essa autoridade tenha informado a referida pessoa do resultado das verificações efetuadas, esta última tem de dispor da possibilidade de intentar uma ação judicial contra a decisão da referida autoridade de encerrar o processo de verificação.

Quanto à segunda questão

56 Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.^o, n.^o 3, da Diretiva 2016/680 é válido à luz do artigo 8.^o, n.^o 3, e do artigo 47.^o da Carta, na medida em que apenas obriga a autoridade de controlo a informar o titular dos dados, por um lado, de que procedeu a todas as verificações necessárias ou a um exame e, por outro, de que essa pessoa tem o direito de intentar ação judicial, dado que essa informação não permite a fiscalização judicial da atuação da autoridade de controlo e suas apreciações, tendo em conta os dados tratados e as obrigações do responsável pelo tratamento.

57 A este respeito, por um lado, há que recordar que, segundo um princípio geral de interpretação, um ato da União deve ser interpretado, tanto quanto possível, de forma que não ponha em causa a sua validade e em conformidade com o direito primário no seu conjunto, nomeadamente com as disposições da Carta. Assim, quando um diploma de direito derivado da União seja suscetível de mais do que uma interpretação, há que dar preferência àquela que torna a disposição compatível com o direito primário em vez da interpretação que leva a declarar a sua incompatibilidade com este (Acórdão de 21 de junho de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, n.^o 86 e jurisprudência referida).

58 Por outro lado, o direito à ação judicial garantido pelo artigo 47.^o da Carta pressupõe, em princípio, que o interessado possa conhecer os motivos em que se baseou a decisão tomada contra si, a fim de lhe permitir defender os seus direitos nas melhores condições possíveis e decidir com pleno conhecimento de causa se é útil recorrer ao juiz competente, bem como para dar a este último todas as condições para exercer o controlo da legalidade dessa (v., neste sentido, Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363, n.^o 53 e jurisprudência referida).

59 Embora esse direito não constitua uma prerrogativa absoluta e, em conformidade com o artigo 52.^o, n.^o 1, da Carta, lhe possam ser introduzidas restrições, só assim é se essas restrições estiverem previstas por lei, respeitarem o conteúdo essencial dos direitos e liberdades em causa e, na observância do princípio da proporcionalidade, forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros [Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia), C‑205/21, EU:C:2023:49, n.^o 89 e jurisprudência referida].

60 No caso em apreço, importa salientar que, no que respeita à decisão da autoridade de controlo competente identificada no n.^o 50 do presente acórdão, o artigo 17.^o, n.^o 3, da Diretiva 2016/680 institui, relativamente a esta autoridade de controlo, uma obrigação mínima de informação, ao prever que informe «pelo menos» o titular dos dados de que «procedeu a todas as verificações necessárias ou a um exame» e do «seu direito de intentar [uma] ação judicial».

61 Daqui resulta que, uma vez que esta disposição não se opõe a que, em certos casos, em conformidade com as regras adotadas pelo legislador nacional para a aplicar, a autoridade de controlo possa ter a faculdade, ou mesmo a obrigação, de se limitar às informações mínimas referidas no número anterior, sem mais precisões, em especial quando essas regras visem evitar comprometer as finalidades de interesse público enunciadas no artigo 13.^o, n.^o 3, o artigo 15.^o, n.^o 1, e o artigo 16.^o, n.^o 4, da referida diretiva, conforme exposto nos n.^os 42 e 43 do presente acórdão, essa disposição é suscetível de criar uma restrição ao direito à ação judicial, garantido no artigo 47.^o da Carta.

62 No entanto, em primeiro lugar, há que constatar que tal restrição está expressamente prevista na Diretiva 2016/680 e que, ao fazer essa previsão, a mesma respeita o requisito enunciado no artigo 52.^o, n.^o 1, da Carta, segundo a qual qualquer restrição ao exercício de direitos fundamentais deve ser «prevista por lei».

63 Em segundo lugar, o facto de o artigo 17.^o, n.^o 3, da Diretiva 2016/680 permitir que os Estados‑Membros limitem, em certos casos, a fundamentação desta decisão aos elementos mínimos enunciados nesta disposição não significa, como indica, em substância, a advogada‑geral no n.^o 89 das suas conclusões, que seja possível, em todas as circunstâncias, reduzir a informação do titular dos dados apenas a esses elementos.

64 Com efeito, deve interpretar‑se esta disposição à luz do artigo 52.^o, n.^o 1, da Carta, de modo que os outros critérios enunciados neste último estejam preenchidos. Isso implica que se considere que a mesma exige que os Estados‑Membros assegurem que as disposições de direito nacional que a aplicam, por um lado, respeitem o conteúdo essencial do seu direito a uma tutela jurisdicional efetiva e, por outro, assentem numa ponderação das finalidades de interesse público que justificam uma limitação dessa informação, bem como dos direitos fundamentais e dos interesses legítimos dessa pessoa, no respeito pelos princípios da necessidade e da proporcionalidade, à semelhança da ponderação que o legislador nacional deve efetuar, quando aplica as restrições previstas no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3, e no artigo 16.^o, n.^o 4, da referida diretiva.

65 Em especial, quando, por um lado, a proteção do direito à ação judicial do titular dos dados contra a decisão de encerrar o processo de verificação o exija e, por outro, as finalidades de interesse público visadas no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3, e no artigo 16.^o, n.^o 4, da Diretiva 2016/680 a isso não se oponham, incumbe aos Estados‑Membros prever que a informação do titular dos dados possa ir além das informações mínimas previstas no artigo 17.^o, n.^o 3, desta diretiva, de forma a permitir‑lhe defender os seus direitos e decidir, com pleno conhecimento de causa, se é útil recorrer ao tribunal competente.

66 Do mesmo modo, as medidas nacionais que executam esta última disposição devem, tanto quanto possível, deixar à autoridade de controlo competente, em conformidade com a independência que a caracteriza por força do artigo 8.^o, n.^o 3, da Carta, uma certa margem de apreciação para determinar se o quadro definido pela legislação nacional em conformidade com os requisitos salientados no n.^o 65 do presente acórdão não se opõe a que comunique a essa pessoa, de forma, pelo menos, sucinta, o resultado das suas verificações e, se for caso disso, os poderes corretivos que tenha exercido. A este respeito, como salientou a advogada‑geral, em substância, nos n.^os 73 e 74 das suas conclusões, cabe a essa autoridade, no respeito desse quadro legal nacional, encetar com o responsável pelo tratamento um diálogo confidencial, na sequência do qual deve decidir quais as informações necessárias ao exercício, pelo titular do direito, do seu direito à ação judicial que lhe pode comunicar sem comprometer as finalidades de interesse público referidas no n.^o 65 do presente acórdão.

67 Por outro lado, nos casos em que o referido quadro impõe que a informação prestada pela autoridade de controlo se limite ao previsto no artigo 17.^o, n.^o 3, da Diretiva 2016/680, cabe, no entanto, aos Estados‑Membros, no âmbito da sua autonomia processual, aplicar as medidas necessárias para garantir, em conformidade com o artigo 53.^o, n.^o 1, desta diretiva, uma fiscalização jurisdicional efetiva tanto da existência e do mérito dos motivos que justificaram a limitação dessas informações como da correta execução, pela autoridade de controlo, da sua atribuição de verificação da licitude do tratamento. A este respeito, o conceito de «ação judicial», referido nesta última disposição, deve ser lido à luz do considerando 86 da referida diretiva, nos termos do qual os tribunais nos quais são intentadas as ações contra uma autoridade de controlo «deverão ter jurisdição plena, incluindo o poder de analisar todas as questões de facto e de direito relevantes para o litígio».

68 Em especial, os Estados‑Membros devem assegurar que o juiz competente tenha à sua disposição e utilize técnicas e regras de direito processual que permitam conciliar, por um lado, as considerações legítimas relativas às finalidades de interesse público visadas no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3, e no artigo 16.^o, n.^o 4, da Diretiva 2016/680, tendo estas finalidades sido tomadas em consideração pela legislação nacional para limitar as informações prestadas ao titular dos dados, e, por outro, a necessidade de garantir de forma suficiente ao interessado o respeito pelos seus direitos processuais, como o direito a ser ouvido e o princípio do contraditório (v., neste sentido, Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363, n.^o 57 e jurisprudência referida).

69 No âmbito da fiscalização jurisdicional da correta aplicação do artigo 17.^o desta diretiva pela autoridade de controlo, incumbe aos Estados‑Membros prever regras que permitam ao juiz competente tomar conhecimento, tanto da totalidade dos fundamentos como dos respetivos elementos de prova, nos quais essa autoridade baseou, neste âmbito, a verificação da licitude do tratamento de dados em causa, bem como as conclusões a que chegou (v., neste sentido, Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363, n.^o 59 e jurisprudência referida).

70 A este respeito, como o Parlamento Europeu salientou nas suas observações, o artigo 15.^o, n.^o 4, da Diretiva 2016/680 prevê que o responsável pelo tratamento detalhe os motivos de facto ou de direito nos quais baseia a decisão através da qual limitou, total ou parcialmente, os direitos de acesso do titular dos dados e que essas informações são disponibilizadas às autoridades de controlo. Como sugerido por esta instituição, tal disposição, em conjugação com os artigos 17.^o e 53.^o desta diretiva e à luz do artigo 47.^o da Carta, conforme interpretada pela jurisprudência recordada nos n.^os 68 e 69 do presente acórdão, implica que essas informações também devem ser disponibilizadas ao órgão jurisdicional chamado a pronunciar‑se contra a autoridade de controlo com vista à fiscalização da correta aplicação do referido artigo 17.^o

71 Assim, resulta dos n.^os 63 a 70 do presente acórdão que a limitação prevista no artigo 17.^o da Diretiva 2016/680 respeita o conteúdo do direito do titular dos dados a uma ação judicial contra a decisão da autoridade de controlo de encerrar o processo previsto nesta disposição assim como os princípios da necessidade e da proporcionalidade, em conformidade com o artigo 52.^o, n.^o 1, da Carta.

72 Atendendo a todas as considerações precedentes, há que concluir que o exame da segunda questão não revelou nenhum elemento suscetível de afetar a validade do artigo 17.^o, n.^o 3, da Diretiva 2016/680.

Quanto às despesas

73 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara:

1) O artigo 17.^o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho, em conjugação com o artigo 46.^o, n.^o 1, alínea g), o artigo 47.^o, n.^os 1 e 2, e o artigo 53.^o, n.^o 1, desta diretiva, bem como com o artigo 8.^o, n.^o 3, e o artigo 47.^o da Carta dos Direitos Fundamentais da União Europeia,

deve ser interpretado no sentido de que:

quando os direitos de uma pessoa tenham sido exercidos, nos termos do referido artigo 17.^o, através da autoridade de controlo competente e essa autoridade tenha informado a referida pessoa do resultado das verificações efetuadas, esta última tem de dispor da possibilidade de intentar uma ação judicial contra a decisão da referida autoridade de encerrar o processo de verificação.

2) O exame da segunda questão não revelou nenhum elemento suscetível de afetar a validade do artigo 17.^o, n.^o 3, da Diretiva 2016/680.

Assinaturas

* Língua do processo: francês.