CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2023:219

ACÓRDÃO DO TRIBUNAL GERAL (Oitava Secção alargada)

26 de abril de 2023 (*)

«Proteção de dados pessoais — Processo de compensação dos acionistas e dos credores na sequência da resolução de uma instituição de crédito — Decisão da AEPD que declara o incumprimento pelo CUR das suas obrigações em matéria de tratamento de dados pessoais — Artigo 15.o, n.o 1, alínea d), do Regulamento (UE) 2018/1725 — Conceito de “dados pessoais” — Artigo 3.o, ponto 1, do Regulamento 2018/1725 — Direito de acesso ao processo»

No processo T‑557/20,

Conselho Único de Resolução (CUR), representado por H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, na qualidade de agentes, assistidas por H.‑G. Kamann, M. Braun, F. Louis, e L. Hesse, advogados

recorrente,

contra

Autoridade Europeia para a Proteção de Dados (AEPD), representada por P. Candellier, X. Lareo e T. Zerdick, na qualidade de agentes,

recorrida,

O TRIBUNAL GERAL (Oitava Secção alargada),

composto por: A. Kornezov, presidente, G. De Baere (relator), D. Petrlík, K. Kecsmár e S. Kingston, juízes,

Secretário: I. Kurme, administradora,

vistos os autos,

após a audiência de 1 de dezembro de 2022,

profere o presente

Acórdão

1 Com o seu recurso baseado no artigo 263.^o TFUE, o Conselho Único de Resolução (CUR) pede, por um lado, a anulação da Decisão revista da Autoridade Europeia para a Proteção de Dados (AEPD) de 24 de novembro de 2020 adotada na sequência do pedido de reapreciação apresentado pelo CUR da Decisão da AEPD de 24 de junho de 2020 relativa a cinco reclamações apresentadas por vários reclamantes (processos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (a seguir «decisão revista») e, por outro, a declaração de ilegalidade da Decisão da AEPD de 24 de junho de 2020 (a seguir «decisão inicial»).

Antecedentes do litígio

2 Em 7 de junho de 2017, a sessão executiva do CUR adotou a Decisão SRB/EES/2017/08, relativa a um programa de resolução para o Banco Popular Español, SA (a seguir «programa de resolução»), com fundamento no Regulamento (UE) n.^o 806/2014 do Parlamento Europeu e do Conselho, de 15 de julho de 2014, que estabelece regras e um procedimento uniformes para a resolução de instituições de crédito e de certas empresas de investimento no quadro de um Mecanismo Único de Resolução e de um Fundo Único de Resolução bancária e que altera o Regulamento (UE) n.^o 1093/2010 (JO 2014, L 225, p. 1).

3 No mesmo dia, a Comissão Europeia adotou a Decisão (UE) 2017/1246, que aprova o programa de resolução (JO 2017, L 178, p. 15).

4 No programa de resolução, o CUR, por considerar que estavam preenchidas as condições do artigo 18.^o, n.^o 1, do Regulamento n.^o 806/2014, decidiu submeter o Banco Popular Español (a seguir «Banco Popular») a um procedimento de resolução. O CUR decidiu reduzir e converter os instrumentos de capital do Banco Popular nos termos do artigo 21.^o do Regulamento n.^o 806/2014 e aplicar o instrumento de alienação da atividade nos termos do artigo 24.^o do Regulamento n.^o 806/2014 através da transferência das ações para um adquirente.

5 Na sequência da resolução do Banco Popular, a Deloitte enviou ao CUR, em 14 de junho de 2018, a Avaliação da diferença de tratamento, prevista no artigo 20.^o, n.^os 16 a 18, do Regulamento n.^o 806/2014, realizada para apurar se os acionistas e os credores teriam recebido um tratamento mais favorável se o Banco Popular tivesse entrado num processo normal de insolvência (a seguir «avaliação 3»).

6 Em 6 de agosto de 2018, o CRU publicou no seu sítio Internet, o seu Aviso de 2 de agosto de 2018 sobre a decisão preliminar relativa à eventual necessidade de compensar os acionistas e os credores em relação aos quais as medidas de resolução do Banco Popular produziram efeitos e o lançamento do processo de registo para o direito a ser ouvido (SRB/EES/2018/132) (a seguir «decisão preliminar»), bem como uma versão não confidencial da avaliação 3. Em 7 de agosto de 2018 foi publicado no Jornal Oficial da União Europeia (JO 2018, C 277 I, p. 1), um anúncio referente ao Aviso do CUR.

7 Na decisão preliminar, o CUR indicou que, para poder adotar uma decisão final sobre a eventual necessidade de compensar os acionistas e os credores afetados pela resolução do Banco Popular a título do artigo 76.^o, n.^o 1, alínea e), do Regulamento n.^o 806/2014, convidava‑os a manifestar o seu interesse em exercer o seu direito a ser ouvidos em aplicação do artigo 41.^o, n.^o 2, alínea a), da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

Quanto ao processo relativo ao direito de ser ouvido

8 Na decisão preliminar, o CUR indicou que o processo relativo ao direito de ser ouvido decorreria em duas fases. Numa primeira fase (a seguir «fase de registo»), os acionistas e credores afetados eram convidados a manifestar o seu interesse em exercer o seu direito a ser ouvidos utilizando para o efeito um formulário de registo em linha, até 14 de setembro de 2018. Em seguida, o CUR devia verificar se cada parte que manifestou o seu interesse tinha efetivamente o estatuto de acionista ou de credor afetado. Numa segunda fase (a seguir «fase de consulta»), os acionistas e credores afetados cujo estatuto tinha sido verificado pelo CUR podiam apresentar os seus comentários sobre a decisão preliminar, à qual estava anexada a avaliação 3.

9 Na fase de registo, os acionistas e credores afetados que pretendessem exercer o seu direito a ser ouvidos deviam fornecer ao CUR os documentos comprovativos de que, na data da resolução, detinham um ou vários instrumentos de capital do Banco Popular que tinham sido reduzidos ou convertidos e transferidos para o Banco Santander, SA, no âmbito da resolução. Os documentos comprovativos a apresentar incluíam um documento de identificação e uma prova da propriedade de um desses instrumentos de capital em 6 de junho de 2017.

10 Em 6 de agosto de 2018, data de início da fase de registo, o CUR publicou igualmente, na página Internet de registo no processo relativo ao direito a ser ouvido e no seu sítio Internet, uma declaração de confidencialidade relativa ao tratamento de dados pessoais no âmbito do processo relativo ao direito a ser ouvido (a seguir «declaração de confidencialidade»).

11 Em 16 de outubro de 2018, o CUR anunciou, no seu sítio Internet que, a partir de 6 de novembro de 2018, os acionistas e credores elegíveis seriam convidados a apresentar os seus comentários escritos sobre a decisão preliminar na fase de consulta.

12 Em 6 de novembro de 2018, por correio eletrónico, o CUR enviou aos acionistas e aos credores elegíveis uma ligação pessoal única que lhes permitia aceder a um formulário na Internet (a seguir «formulário»). O formulário continha sete perguntas, com um espaço de resposta limitado, que permitia aos acionistas e credores afetados apresentar, antes de 26 de novembro de 2018, comentários sobre a decisão preliminar e sobre a versão não confidencial da avaliação 3.

13 O CUR analisou os comentários pertinentes dos acionistas e credores afetados relativos à decisão preliminar. Pediu à Deloitte, na sua qualidade de avaliador independente, que avaliasse os comentários pertinentes relativos à avaliação 3, lhe fornecesse um documento com a sua avaliação e examinasse se a avaliação 3 continuava a ser válida à luz desses comentários.

Quanto ao tratamento dos dados recolhidos pelo CUR no âmbito do processo relativo ao direito a ser ouvido

14 Os dados recolhidos na fase de registo, a saber, as provas da identidade dos participantes e da propriedade de instrumentos de capital do Banco Popular reduzidos ou convertidos e transferidos, eram acessíveis a um número limitado de membros do pessoal do CUR responsáveis pelo tratamento desses dados para determinar a elegibilidade dos participantes.

15 Esses dados não eram visíveis para os membros do pessoal do CUR responsáveis pelo tratamento dos comentários recebidos na fase de consulta, durante a qual receberam unicamente comentários identificados com referência a um código alfanumérico atribuído a cada comentário apresentado através do formulário. O código alfanumérico consistia num identificador único universal de 33 dígitos, gerado de forma aleatória no momento da receção das respostas ao formulário.

16 Numa primeira fase, o CUR efetuou uma filtragem automática de 23 822 comentários, cada um com um código alfanumérico único, apresentados por 2 855 participantes no processo. Dois algoritmos permitiram identificar 20 101 comentários como idênticos. O comentário apresentado em primeiro lugar foi considerado o comentário original, que foi examinado na fase de análise, e os comentários idênticos recebidos posteriormente foram identificados como duplicados.

17 Numa segunda fase, a fase de análise, o CUR examinou os comentários com o objetivo de garantir a coerência na avaliação da sua pertinência e da sua categorização ou agregação em temas definidos. Assim, o CUR identificou comentários semelhantes, mas não idênticos, que se baseavam nas mesmas fontes disponíveis na Internet.

18 O pessoal do CUR responsável pela análise dos comentários não tinha acesso aos dados recolhidos na fase de registo, pelo que esses comentários estavam dissociados das informações pessoais relativas às pessoas que os tinham apresentado, nem à chave de dados ou às informações que permitiam rastrear a identidade de um participante por referência ao código alfanumérico único atribuído a cada comentário.

19 Nessa fase de análise, o CUR comparou todos os comentários apresentados e classificou‑os em função da pergunta do formulário a que respondiam. Em seguida, os comentários foram apreciados em função da sua pertinência e divididos entre, por um lado, os que estavam abrangidos pelo âmbito de aplicação do processo relativo ao direito a ser ouvido na medida em que podiam ter influência na decisão preliminar ou na avaliação 3 e, por outro, os que não estavam abrangidos pelo âmbito dessa decisão porque diziam respeito a outros aspetos da resolução do Banco Popular.

20 Seguidamente, um comentário abrangido pelo âmbito de aplicação do processo foi atribuído a um dos quinze temas predefinidos pelo CUR. Em função do tema em que se inseriam, os comentários eram divididos entre os que deviam ser examinados pelo CUR por se referirem à decisão preliminar e os que deviam ser examinados pela Deloitte por se referirem à avaliação 3. O CUR não fez nenhuma distinção entre os comentários que deviam ser examinados, os que tinham sido apresentados apenas uma vez e os que tinham duplicados.

21 No final da fase de análise, o CUR identificou 3 730 comentários classificados em função da sua pertinência e do seu tema.

22 Numa terceira fase, a fase de exame, os comentários relativos à decisão preliminar foram tratados pelo CUR e os relativos à avaliação 3, a saber, 1 104 comentários, foram transferidos para a Deloitte em 17 de junho de 2019, através de um servidor virtual de dados seguro e dedicado ao CUR. O CUR descarregou os ficheiros a comunicar à Deloitte no servidor virtual e deu acesso a esses ficheiros a um número limitado e controlado de membros do pessoal da Deloitte diretamente envolvidos nesse projeto.

23 Os comentários transmitidos à Deloitte estavam filtrados, categorizados e agregados. Quando constituíam cópias de comentários anteriores, só era transmitida uma versão à Deloitte, pelo que os comentários individuais que tinham sido replicados não podiam ser distinguidos dentro de um mesmo tema e a Deloitte não tinha a possibilidade de saber se um comentário tinha sido formulado por um ou vários participantes no processo.

24 Os comentários transmitidos à Deloitte referiam‑se unicamente aos recebidos na fase de consulta e tinham um código alfanumérico. Através desse código, o CUR era o único a poder ligar os comentários aos dados recebidos na fase de registo. O código alfanumérico foi desenvolvido para efeitos de auditoria, a fim de permitir verificar e, eventualmente, demonstrar a posteriori que cada comentário tinha sido tratado e tido devidamente em conta. A Deloitte não tinha e continua a não ter acesso à base de dados recolhidos durante a fase de registo.

Quanto à tramitação do processo na AEPD

25 Em 19, 26 e 28 de outubro e em 5 de dezembro de 2019, acionistas e credores afetados que tinham respondido ao formulário apresentaram à AEPD cinco reclamações (processos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (a seguir «cinco reclamações») ao abrigo do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.^o 45/2001 e a Decisão 1247/2002/CE (JO 2018, L 295, p. 39).

26 Os autores das cinco reclamações (a seguir «reclamantes») alegaram que o CUR não os tinha informado que os dados recolhidos através das respostas ao formulário seriam transmitidos a terceiros, a saber, a Deloitte e o Banco Santander, violando os termos da declaração de confidencialidade. Acrescentaram que, por esse facto, o CUR tinha violado o artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725, segundo o qual, «[c]aso os dados pessoais sejam recolhidos junto do titular dos dados, o responsável pelo tratamento deve prestar‑lhe, aquando da recolha dos dados pessoais, todas as informações [relativas,] […] [aos] destinatários ou [às] categorias de destinatários dos dados pessoais, se os houver».

27 Em 12 de dezembro de 2019, a AEPD informou o CUR de que tinha recebido as cinco reclamações e pediu‑lhe que apresentasse observações.

28 Em 24 de junho de 2020, no termo de um procedimento em que o CUR forneceu várias explicações a pedido da AEPD e os reclamantes apresentaram observações, a AEPD adotou a decisão inicial. A AEPD considerou que o CUR tinha violado o artigo 15.^o do Regulamento 2018/1725 por não ter informado os reclamantes, na declaração de confidencialidade, da possibilidade de os seus dados pessoais serem comunicados à Deloitte. Por conseguinte, o CUR foi alvo de uma repreensão por essa violação nos termos do artigo 58.^o, n.^o 2, alínea b), do Regulamento 2018/1725.

29 Em 22 de julho de 2020, o CUR pediu à AEPD que reapreciasse a decisão inicial ao abrigo do artigo 18.^o, n.^o 1, da Decisão da AEPD de 15 de maio de 2020, que adota o Regulamento Interno da AEPD (JO 2020, L 204, p. 49). O CUR forneceu, nomeadamente, uma descrição pormenorizada do processo relativo ao direito a ser ouvido e da análise dos comentários apresentados, durante a fase de consulta, por quatro dos reclamantes identificados. Alegou que as informações transmitidas à Deloitte não constituíam dados pessoais na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

30 Em 5 de agosto de 2020, a AEPD informou o CUR de que, à luz dos novos elementos fornecidos, tinha decidido reapreciar a decisão inicial e que adotaria uma decisão que a substitua.

31 Em 24 de novembro de 2020, no termo do processo de reapreciação, durante o qual os reclamantes apresentaram observações e o CUR forneceu informações suplementares a pedido da AEPD, esta adotou a decisão revista.

32 A AEPD decidiu reapreciar a decisão inicial nos seguintes termos:

«1. A AEPD considera que os dados que o CUR partilhou com a Deloitte eram dados pseudonimizados, tanto porque os comentários da fase [de consulta] eram dados pessoais como porque o CUR partilhou o código alfanumérico que permitia ligar as respostas recebidas na fase [de registo] às da fase [de consulta], apesar de os dados fornecidos pelos participantes para se identificarem na fase [de registo] não terem sido comunicados à Deloitte.

2. A AEPD considera que a Deloitte era um destinatário dos dados pessoais dos reclamantes na aceção do artigo 3.^o, ponto 13, do Regulamento 2018/1725. O facto de a Deloitte não ter sido mencionada na declaração de confidencialidade do CUR como potencial destinatária dos dados pessoais recolhidos e tratados pelo CUR, na sua qualidade de responsável pelo tratamento no âmbito do processo relativo ao direito a ser ouvido, constitui um incumprimento da obrigação de informação prevista no artigo 15.^o, n.^o 1, alínea d), [do Regulamento 2018/1725].

3. À luz de todas as medidas técnicas e organizativas adotadas pelo CUR para atenuar os riscos para o direito das pessoas à proteção de dados no âmbito do processo relativo ao direito a ser ouvido, a AEPD decide não exercer o seu poder de correção previsto no artigo 58.^o, n.^o 2, [do Regulamento 2018/1725].

4. No entanto, a AEPD recomenda ao CUR que se certifique de que as suas declarações de confidencialidade em futuros processos relativos ao direito a ser ouvido abranjam o tratamento de dados pessoais tanto na fase de registo como na fase de consulta e incluam todos os potenciais destinatários das informações recolhidas, a fim de respeitar plenamente a obrigação de informar as pessoas em causa, em conformidade com o artigo 15.^o [do Regulamento 2018/1725].»

Pedidos das partes

33 O CUR conclui pedindo, após adaptação dos seus pedidos, que o Tribunal Geral se digne:

– anular a decisão revista;

– declarar ilegal a decisão inicial;

– condenar a AEPD nas despesas.

34 A AEPD conclui pedindo que o Tribunal Geral se digne:

– negar provimento ao recurso;

– condenar o CUR nas despesas.

Questão de direito

Quanto ao segundo pedido, destinado a que o Tribunal Geral «declare ilegal a decisão inicial»

35 No caso em apreço, é pacífico entre as partes que a decisão revista revogou e substituiu a decisão inicial.

36 A AEPD alega que, por este motivo, o pedido relativo à decisão inicial é inadmissível.

37 O CUR alega que continua a ter interesse em obter a declaração das irregularidades processuais que conduziram à adoção da decisão inicial, a saber, as violações dos seus direitos de defesa e do seu direito de aceder ao processo, para que não se repitam em futuros procedimentos. Na sua resposta a uma medida de organização do processo, especificou que, com o seu segundo pedido, não solicitava a anulação da decisão inicial, uma vez que esta tinha sido revogada e substituída pela decisão revista com efeitos ex tunc, mas sim declará‑la ilegal.

38 Por conseguinte, há que considerar que, com o seu segundo pedido, o CUR pretende obter uma sentença declarativa e não a anulação de um ato.

39 Ora, basta recordar que resulta de jurisprudência constante que o Tribunal Geral não é competente, no âmbito da fiscalização da legalidade nos termos do artigo 263.^o TFUE, para proferir acórdãos declarativos (v. Acórdãos de 4 de fevereiro de 2009, Omya/Comissão, T‑145/06, EU:T:2009:27, n.^o 23 e jurisprudência referida, e de 13 de setembro de 2018, DenizBank/Conselho, T‑798/14, EU:T:2018:546, n.^o 135 e jurisprudência referida).

40 Daqui resulta que o segundo pedido do CUR, que visa que o Tribunal Geral «declare ilegal a decisão inicial», deve ser julgado improcedente por falta de competência do Tribunal Geral para dele conhecer.

Quanto à admissibilidade do primeiro pedido, relativo à anulação da decisão revista

41 A admissibilidade do recurso faz parte dos fundamentos de inadmissibilidade de ordem pública que podem, a todo o tempo, ser suscitados oficiosamente pelo juiz da União (v. Acórdão de 16 de março de 2022, MEKH e FGSZ/ACER, T‑684/19 e T‑704/19, EU:T:2022:138, n.^o 29 e jurisprudência referida; v., igualmente, neste sentido, Acórdão de 24 de março de 1993, CIRFS e o./Comissão, C‑313/90, EU:C:1993:111, n.^o 23). No âmbito de uma medida de organização do processo, o Tribunal Geral interrogou as partes, nomeadamente, sobre a questão de saber se a decisão revista constituía um ato impugnável nos termos do artigo 263.^o TFUE.

42 Em resposta a esta questão, a AEPD indica que o facto de a decisão revista conter a sua posição final e uma declaração de violação não é suficiente para que constitua um ato impugnável. É necessário que essa posição implique uma alteração da situação jurídica do CUR. Uma vez que na decisão revista a AEPD não fez uso dos seus poderes de correção previstos no artigo 58.^o do Regulamento 2018/1725, pode considerar‑se que a referida decisão não produz efeitos jurídicos para fins da fiscalização jurisdicional nos termos do artigo 263.^o TFUE.

43 Na sua resposta a essa mesma questão, o CUR alega que a decisão revista produz efeitos jurídicos suscetíveis de afetar os seus interesses.

44 Resulta da jurisprudência que, por força do artigo 263.^o, quarto parágrafo, TFUE, que uma pessoa singular ou coletiva só pode impugnar atos que produzam efeitos jurídicos obrigatórios suscetíveis de afetar os seus interesses, alterando de forma caracterizada a sua situação jurídica. Assim, constituem, em princípio, atos impugnáveis as medidas que fixam definitivamente a posição de uma instituição, de um órgão, ou de um organismo da União no termo de um procedimento administrativo e que visam produzir efeitos jurídicos vinculativos suscetíveis de afetar os interesses do recorrente, com exceção das medidas intercalares cujo objetivo é preparar a decisão final, que não produzem tais efeitos (v. Acórdãos de 25 de junho de 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, n.^os 69 e 70 e jurisprudência referida, e de 6 de maio de 2021, ABLV Bank e o./BCE, C‑551/19 P e C‑552/19 P, EU:C:2021:369, n.^o 39 e jurisprudência referida).

45 Para determinar se um ato produz tais efeitos, importa atender à substância desse ato e apreciar esses efeitos em função de critérios objetivos, tais como o conteúdo do referido ato, tendo em conta, se for caso disso, o contexto da adoção deste último, bem como os poderes da instituição, do órgão ou do organismo da União que dele é autor (v. Acórdãos de 22 de abril de 2021, thyssenkrupp Electrical Steel e thyssenkrupp Electrical Steel Ugo/Comomissão, C‑572/18 P, EU:C:2021:317, n.^o 48 e jurisprudência referida; de 6 de maio de 2021, ABLV Bank e o./BCE, C‑551/19 P e C‑552/19 P, EU:C:2021:369, n.^o 41 e jurisprudência referida, e de 6 de outubro de 2021, Tognoli e o./Parlamento, C‑431/20 P, EU:C:2021:807, n.^o 34 e jurisprudência referida).

46 Em primeiro lugar, importa recordar que a decisão revista foi adotada pela AEPD na sequência de um pedido do CUR de reapreciação da decisão inicial. A decisão revista, adotada na sequência de um procedimento administrativo contraditório, revoga e substitui a decisão inicial e constitui uma decisão que estabelece definitivamente a posição da AEPD relativamente às cinco reclamações.

47 Ora, o artigo 64.^o, n.^o 2, do Regulamento 2018/1725, relativo ao direito à ação judicial, prevê que os recursos das decisões da AEPD são interpostos no Tribunal de Justiça da União Europeia.

48 Em especial, o artigo 18.^o do regulamento interno da AEPD, com base no qual foi adotada a decisão revista, dispõe, nomeadamente, no seu n.^o 3:

«Se, no seguimento de um pedido de reapreciação da sua decisão relativa a uma reclamação, a AEPD emitir uma nova decisão revista, a AEPD informa o reclamante e a instituição em causa de que podem impugnar esta nova decisão junto do Tribunal de Justiça da União Europeia, em conformidade com o artigo 263.^o [TFUE].»

49 A este respeito, na carta de acompanhamento da decisão revista enviada ao CUR, indica‑se o seguinte:

«Informamos que esta decisão anula e substitui a Decisão adotada em 24 de junho de 2020. Pode interpor recurso de anulação desta decisão para o Tribunal de Justiça da União Europeia no prazo de dois meses a contar da data de adoção da presente decisão e nas condições previstas no artigo 263.^o [TFUE].»

50 Em segundo lugar, quanto à substância da decisão revista, há que recordar, por um lado, que a AEPD concluiu que o CUR tinha violado o dever de informação previsto no artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725 e, por outro, que lhe recomendou, essencialmente, que se assegurasse, nas suas futuras declarações de confidencialidade, de que não repetia essa violação.

51 Por um lado, cabe salientar que, em aplicação do artigo 65.^o do Regulamento 2018/1725, essa violação é suscetível de desencadear a responsabilidade do CUR, como responsável pelo tratamento dos dados em causa, sob reserva do respeito das outras condições previstas nos Tratados.

52 Por outro lado, em aplicação do artigo 66.^o, n.^o 1, do Regulamento 2018/1725, a AEPD, ao decidir da imposição de uma coima a uma instituição ou a um órgão da União e do montante da mesma, deve ter em conta, nomeadamente, a existência de violações similares anteriormente cometidas por essa instituição ou órgão. Por conseguinte, se o CUR não seguisse a recomendação da AEPD de alterar no futuro as suas declarações de confidencialidade nos processos relativos ao direito a ser ouvido, poderia ser declarada uma violação similar do artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725 pelo CUR e levar à imposição de uma coima.

53 Daqui resulta que a declaração, na decisão revista, de que o CUR violou o artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725 produz efeitos jurídicos vinculativos, ainda que a AEPD tenha indicado que renunciava ao exercício dos seus poderes de correção previstos no artigo 58.^o, n.^o 2, do Regulamento 2018/1725.

54 Tendo em conta o que precede, a decisão revista é um ato da União suscetível de afetar os interesses do seu destinatário, alterando de forma caracterizada a sua situação jurídica. Constitui, portanto, um ato impugnável na aceção do artigo 263.^o TFUE.

55 Por conseguinte, há que declarar admissível o primeiro pedido que visa a anulação da decisão revista.

Quanto ao mérito

56 O CUR invoca dois fundamentos de recurso. O primeiro fundamento é relativo à violação do artigo 3.^o, ponto 1, do Regulamento 2018/1725, na medida em que as informações transmitidas à Deloitte não constituíam dados pessoais. O segundo fundamento é relativo à violação do direito a uma boa administração consagrado no artigo 41.^o da Carta.

57 Com o primeiro fundamento, o CUR alega que a AEPD violou o artigo 3.^o, ponto 1, do Regulamento 2018/1725 ao considerar, na decisão revista, que as informações transmitidas à Deloitte constituíam dados pessoais dos reclamantes.

58 O artigo 3.^o, ponto 1, do Regulamento 2018/1725 define os dados pessoais como «informações relativas a uma pessoa singular identificada ou identificável [e indica que] é identificável a pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».

59 Resulta desta definição que uma informação constitui um dado pessoal, nomeadamente, se estiverem preenchidos dois requisitos cumulativos, a saber, por um lado, que essas informações sejam «relativas» a uma pessoa singular e, por outro, que essa pessoa seja «identificada ou identificável».

Quanto ao requisito previsto no artigo 3.^o, ponto 1, do Regulamento 2018/1725, segundo o qual as informações devem ser «relativas» a uma pessoa singular

60 O CUR alega que os comentários recebidos na fase de consulta e comunicados à Deloitte não diziam respeito a pessoas específicas na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725. Considera que o raciocínio seguido no Acórdão de 20 de dezembro de 2017, Nowak (C‑434/16, EU:C:2017:994), não se aplica aos comentários dos reclamantes. Sustenta que as informações contidas nos comentários dos reclamantes eram informações factuais e jurídicas independentes das pessoas ou das qualidades pessoais dos reclamantes e sem nenhuma relação com a sua vida privada. Considera que o objetivo do processo relativo ao direito a ser ouvido era avaliar argumentos de facto e de direito relativos à decisão preliminar e à avaliação 3 provenientes de um grande número de partes interessadas, cuja personalidade e identidade não eram pertinentes para avaliar os seus comentários.

61 A AEPD alega que o conteúdo dos comentários dos acionistas e dos credores afetados são informações «relativas» aos mesmos, uma vez que as suas respostas continham e refletiam o seu ponto de vista pessoal, ainda que se baseassem em informações acessíveis ao público. As respostas ao formulário dos reclamantes e dos outros participantes constituem dados pessoais, independentemente da questão de saber se se trata da expressão de um ponto de vista original ou de um ponto de vista partilhado com outros e independentemente da questão de saber se o CUR os considera informações independentes dos direitos específicos dos acionistas e dos credores afetados em matéria de respeito da vida privada.

62 A AEPD considera igualmente que os comentários constituem dados pessoais devido aos seus efeitos. A apreciação desses comentários, destinada a verificar a validade da avaliação 3 e a legalidade da decisão preliminar, era suscetível de afetar os interesses e direitos dos participantes em matéria de compensação financeira. Por último, alega que a finalidade da recolha dos comentários era conceder direitos processuais a cada parte, a fim de recolher pontos de vista individuais.

63 Na decisão revista, a AEPD indicou que as respostas recebidas na fase de consulta constituíam dados pessoais dos reclamantes, uma vez que continham o seu ponto de vista pessoal e, por conseguinte, constituíam informações relativas aos mesmos, ainda que se baseassem em informações acessíveis ao público para expressarem o seu ponto de vista. Considerou que o facto de os reclamantes terem expressado pontos de vista semelhantes, mas não idênticos, aos dos outros participantes não significava que as suas respostas não refletissem a sua própria opinião. Por conseguinte, a AEPD considerou que todas as respostas fornecidas nos campos de texto livre pelos reclamantes e pelos outros participantes deviam ser consideradas dados pessoais, dado que se tratava da expressão de um ponto de vista original e único ou de um ponto de vista partilhado com outros ou inspirado ou extraído de informações acessíveis ao público. Acrescentou que esta conclusão não era contrariada pelo Acórdão de 20 de dezembro de 2017, Nowak (C‑434/16, EU:C:2017:994), no qual o Tribunal de Justiça não fez distinção entre as respostas inteiramente elaboradas pelos respondentes e as respostas extraídas de outras fontes de conhecimento.

64 Há que examinar se a AEPD pôde considerar corretamente que as informações transmitidas à Deloitte eram «relativas» a uma pessoa singular na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

65 A título preliminar, há que observar que, na decisão revista, a AEPD qualificou de dados pessoais todos os comentários formulados pelos acionistas e credores afetados na fase de consulta e não limitou a sua apreciação apenas às informações transmitidas à Deloitte.

66 Ora, na medida em que a violação do artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725 declarada na decisão revista dizia unicamente respeito ao facto de o CUR não ter mencionado, na declaração de confidencialidade, que a Deloitte era o destinatário potencial de alguns dados, há que limitar‑se a examinar se as informações transmitidas à Deloitte constituíam dados pessoais na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

67 A este respeito, o artigo 3.^o, ponto 13, do Regulamento 2018/1725 define o «destinatário» como «uma pessoa singular ou coletiva, uma autoridade pública ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro».

68 Segundo a jurisprudência, a utilização da expressão «informações» no âmbito da definição do conceito de «dados pessoais», constante do artigo 3.^o, ponto 1, do Regulamento 2018/1725, reflete o objetivo do legislador da União de atribuir um sentido amplo a esse conceito, que não está limitado às informações sensíveis ou de ordem privada, mas engloba potencialmente qualquer tipo de informações, tanto objetivas como subjetivas sob forma de opiniões ou de apreciações, na condição de serem «relativas» à pessoa em causa (v., por analogia, Acórdão de 20 de dezembro de 2017, Nowak, C‑434/16, EU:C:2017:994, n.^o 34).

69 No que se refere a este último requisito, o Tribunal de Justiça declarou que este estava preenchido quando, devido ao seu conteúdo, à sua finalidade ou ao seu efeito, a informação estiver relacionada com uma pessoa determinada (Acórdão de 20 de dezembro de 2017, Nowak, C‑434/16, EU:C:2017:994, n.^o 35).

70 Ora, na decisão revista, a AEPD não examinou o conteúdo, nem a finalidade, nem o efeito das informações transmitidas à Deloitte.

71 Com efeito, limitou‑se a indicar que os comentários apresentados pelos reclamantes na fase de consulta refletiam as suas opiniões ou os seus pontos de vista e a concluir, apenas com este fundamento, que constituíam informações que lhes diziam respeito, o que bastava para os qualificar de dados pessoais.

72 Na audiência, a AEPD confirmou que, em seu entender, qualquer opinião pessoal constituía um dado pessoal. Admitiu igualmente não ter examinado o conteúdo dos comentários apresentados pelos reclamantes na fase de consulta.

73 É certo que não se pode excluir que os pontos de vista pessoais ou as opiniões constituam dados pessoais. Todavia, resulta dos n.^os 34 e 35 do Acórdão de 20 de dezembro de 2017, Nowak (C‑434/16, EU:C:2017:994), referidos nos n.^os 68 e 69, supra, que tal conclusão não se pode basear numa presunção como a descrita nos n.^os 71 e 72, supra, mas deve basear‑se no exame que visa determinar se, pelo seu conteúdo, finalidade ou efeitos, um ponto de vista está relacionado com uma determinada pessoa.

74 Daqui resulta que, ao não ter procedido a esse exame, a AEPD não podia concluir que as informações transmitidas à Deloitte constituíam informações «relativas» a uma pessoa singular na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

75 A seguir, o Tribunal Geral examinará a apreciação da AEPD relativa à questão de saber se as informações transmitidas à Deloitte eram relativas a uma pessoa singular «identificada ou identificável».

Quanto ao requisito previsto no artigo 3.^o, ponto 1, do Regulamento 2018/1725, segundo o qual as informações devem ser relativas a uma pessoa singular «identificada ou identificável»

76 O CUR alega que, contrariamente ao que a AEPD considerou, a comunicação do código alfanumérico à Deloitte não levou a «pseudonimizar» os dados. Estes continuaram a ser anónimos, uma vez que o CUR não partilhou com a Deloitte as informações que permitiam voltar a identificar os autores dos comentários.

77 O CUR sustenta que os dados são tornados anónimos para um terceiro, mesmo quando as informações que permitem a desanonimização não sejam eliminadas irrevogavelmente e conservadas pelo responsável pelo tratamento inicial, se o formato em que os dados são comunicados a esse terceiro já não permite a identificação do autor dos comentários ou não a torna razoavelmente verosímil. O CUR alega que, contrariamente ao que a AEPD considerou na decisão revista, o Regulamento 2018/1725 e a jurisprudência do Tribunal de Justiça exigem uma avaliação do risco de desanonimização.

78 Mais especificamente, o CUR alega que as condições estabelecidas pela jurisprudência do Tribunal de Justiça relativas à existência de um risco de desanonimização quando nem todas as informações suscetíveis de permitir a identificação são detidas por uma única pessoa, mas por várias partes, não se verificam no caso em apreço. Por um lado, o código alfanumérico atribuído aos comentários individuais não permite à Deloitte voltar a identificar as pessoas que apresentaram comentários. As informações suplementares mencionadas no artigo 3.^o, ponto 6, do Regulamento 2018/1725 são constituídas pela base de dados que permite a descodificação à qual só o CUR tem acesso. Por outro lado, no que respeita ao critério da probabilidade razoável de combinação das informações, a Deloitte não tinha e continua a não ter meios legais para aceder às informações suplementares e de identificação.

79 A AEPD alega que o facto de a Deloitte não ter tido acesso às informações na posse do CUR que permitem a desanonimização não tem como consequência que os dados «pseudonimizados» transmitidos à Deloitte se tenham convertido em dados anónimos. Não é necessário determinar se a Deloitte podia voltar a identificar os autores das informações que lhe tinham sido transmitidas ou se isso era razoavelmente provável. Os dados «pseudonimizados» continuam a sê‑lo mesmo quando são transmitidos a um terceiro que não disponha das informações suplementares.

80 A AEPD alega que a utilização do termo «indiretamente» no artigo 3.^o, ponto 1, do Regulamento 2018/1725 significa que, para que uma informação seja qualificada de dado pessoal, não é necessário que permita, por si só, identificar a pessoa em causa. Além disso, no que respeita aos meios que apresentem uma probabilidade razoável de serem utilizados quer pelo responsável pelo tratamento quer por outra pessoa, não se exige que todas as informações que permitem identificar a pessoa em causa devam estar na posse de uma única pessoa.

81 Na decisão revista, a AEPD considerou que as informações transmitidas à Deloitte constituíam dados «pseudonimizados». A este respeito, indicou que a diferença entre os dados «pseudonimizados» e os dados anónimos reside no facto de que, no caso de dados anónimos, não existem «informações suplementares» que possam ser utilizadas para atribuir os dados a um titular específico, ao passo que, no caso de dados «pseudonimizados», existem essas informações suplementares. Por conseguinte, para avaliar se os dados eram anónimos ou «pseudonimizados», havia que examinar se existiam «informações suplementares» que pudessem ser utilizadas para atribuir os dados a titulares específicos.

82 Salientou que o CUR tinha transmitido à Deloitte não só alguns comentários dos acionistas e dos credores afetados mas também o código alfanumérico correspondente, e que a Deloitte não tinha tido acesso às respostas dadas na fase de inscrição. Indicou que, como tinha explicado o CUR, «era impossível a Deloitte rastrear a identidade de qualquer parte que utilizasse esse código por referência aos dados concretos fornecidos pelas partes elegíveis no âmbito da fase de registo (que o CUR sempre conservou)». Contudo, a AEPD considerou que os dados fornecidos na fase de registo com o identificador único, a saber, o código alfanumérico atribuído a cada participante elegível, constituíam um exemplo perfeito de «informações suplementares» na aceção do artigo 3.^o, ponto 6, do Regulamento 2018/1725, uma vez que podiam ser utilizados pelo CUR para atribuir os dados a um titular específico.

83 A AEPD explicou que o Regulamento 2018/1725 não fazia distinção entre os que conservavam os dados «pseudonimizados» e os que detinham informações suplementares e que o facto de se tratar de entidades diferentes não tornava anónimos os dados «pseudonimizados». Acrescentou que o facto de a Deloitte não ter podido, por si só, atribuir os comentários aos dados recebidos na fase de registo não excluía que os dados que tinha recebido estivessem «pseudonimizados». Na opinião da AEPD, os dados que o CUR tinha partilhado com a Deloitte eram dados «pseudonimizados», quer porque os comentários recebidos na fase de consulta eram dados pessoais quer porque o CUR partilhou o código alfanumérico que permitia ligar as respostas dadas na fase de registo às respostas dadas na fase de consulta, apesar de os dados fornecidos pelos participantes para se identificarem na fase de registo não terem sido comunicados à Deloitte. Concluiu daí que as informações transmitidas à Deloitte consistiam em dados «pseudonimizados» e, portanto, dados pessoais na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

84 A título preliminar, há que salientar que, tendo em conta os mecanismos instituídos pelo CUR sobre o tratamento dos dados recolhidos no âmbito do processo relativo ao direito a ser ouvido, descritos nos n.^os 14 a 24, supra, as informações transmitidas à Deloitte não se referiam a pessoas «identificadas».

85 Por conseguinte, há que examinar se a AEPD pôde considerar corretamente que as informações transmitidas à Deloitte se referiam a uma pessoa singular «identificável» na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

86 Segundo esta disposição, considera‑se «identificável» a pessoa singular que possa ser identificada, direta ou indiretamente.

87 O considerando 16 do Regulamento 2018/1725 prevê o seguinte:

«[…] Os dados pessoais que tenham sido pseudonimizados [e] que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares deverão ser considerados informações [relativas a] uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, deverão ser tidos em conta todos os meios que apresentem uma probabilidade razoável de ser utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se existe uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, deverão ser tidos em conta todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta as tecnologias disponíveis à data do tratamento dos dados e a evolução tecnológica. […]»

88 Há que salientar que, no Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779), o Tribunal de Justiça interpretou o conceito de «dado pessoal» na aceção do artigo 2.^o, alínea a), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), que contém uma disposição equivalente ao artigo 3.^o, ponto 1, do Regulamento 2018/1725.

89 Este processo colocava a questão de saber se um endereço de protocolo Internet (a seguir «endereço IP») dinâmico constituía um dado pessoal em relação ao prestador de serviços de meios de comunicação em linha que o tinha registado. O Tribunal de Justiça considerou que havia que verificar se esse endereço IP podia ser qualificado de informações relativas a uma «pessoa singular identificável», tendo em conta, por um lado, o facto de que não oferecia, por si só, a esse fornecedor a possibilidade de identificar o utilizador que tinha consultado o sítio Internet e, por outro, o facto de as informações suplementares necessárias que, embora combinadas com esse endereço IP, permitiriam identificar o referido utilizador, eram detidas pelo fornecedor de acesso à Internet.

90 Na medida em que o considerando 16 do Regulamento 2018/1725 faz referência aos meios que apresentem uma probabilidade razoável de ser utilizados quer pelo responsável pelo tratamento quer por «outra pessoa», a sua redação sugere que, para que um dado possa ser qualificado de «dado pessoal» na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725, não é necessário que todas as informações que permitem identificar a pessoa em causa tenham de estar na posse de uma única pessoa (v., por analogia, Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 43).

91 No entanto, o Tribunal de Justiça acrescentou que o facto de as informações suplementares necessárias para identificar o utilizador de um sítio Internet não serem detidas pelo fornecedor de meios de comunicação em linha, mas pelo fornecedor de acesso à Internet desse utilizador, não parecia assim suscetível de excluir que os endereços IP dinâmicos registados pelo prestador de serviços de meios de comunicação em linha constituíam, para ele, dados pessoais (Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 44).

92 No entanto, o Tribunal de Justiça considerou que importava determinar se a possibilidade de combinar um endereço IP dinâmico com as referidas informações suplementares detidas por esse fornecedor de acesso à Internet constituía um meio que apresenta uma probabilidade razoável de ser utilizado para identificar a pessoa em causa (Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 45).

93 O Tribunal de Justiça indicou que não seria assim se a identificação da pessoa em causa tivesse sido proibida por lei ou inexequível, por exemplo, devido ao facto de implicar um esforço desmedido em termos de tempo, de custo e de mão‑de‑obra, de modo que o risco de uma identificação parecia na realidade insignificante (Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 46).

94 No caso em apreço, é pacífico, por um lado, que o código alfanumérico que figura nas informações transmitidas à Deloitte não permitia, por si só, identificar os autores dos comentários e, por outro, que a Deloitte não tinha acesso aos dados de identificação recebidos na fase de registo que permitiam ligar os participantes aos seus comentários graças ao código alfanumérico.

95 A AEPD declarou na decisão revista e confirmou na audiência que as informações suplementares necessárias para identificar os autores dos comentários consistiam no código alfanumérico e na base de dados de identificação.

96 É certo que, como sustenta a AEPD, tendo em conta o n.^o 43 do Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779), referido no n.^o 90, supra, o facto de as informações suplementares necessárias para identificar os autores dos comentários recebidos na fase de consulta não estarem na posse da Deloitte, mas do CUR, não parece suscetível de excluir a priori que as informações transmitidas à Deloitte constituíam, para esta, dados pessoais.

97 Todavia, resulta igualmente do Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779) que, para determinar se as informações transmitidas à Deloitte constituíam dados pessoais, há que atender à perspetiva desta última para determinar se as informações que lhe foram transmitidas são relativas a «pessoas identificáveis».

98 Com efeito, há que recordar, em primeiro lugar, que a violação do artigo 15.^o, n.^o 1, alínea d), do Regulamento 2018/1725 declarada pela AEPD na decisão revista dizia respeito à transmissão pelo CUR de alguns comentários para a Deloitte e não à mera detenção destes pelo CUR.

99 Em segundo lugar, por um lado, a situação da Deloitte pode ser comparada à do prestador de serviços de meios de comunicação em linha em causa no Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779), uma vez que este dispunha de informações, a saber, os comentários relativos à avaliação 3, que não constituíam informações relativas a uma «pessoa singular identificada», uma vez que o código alfanumérico que figura em cada resposta não permitia revelar diretamente a identidade da pessoa singular que preencheu o formulário. Por outro lado, a situação do CUR pode comparar‑se à do fornecedor de acesso à Internet nesse processo, na medida em que é dado assente que ele era o único que detinha as informações suplementares que permitiam identificar os acionistas e os credores afetados que responderam ao formulário, a saber, o código alfanumérico e a base de dados de identificação.

100 Por conseguinte, em aplicação do n.^o 44 do Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779), referido no n.^o 91, supra, incumbia à AEPD examinar se os comentários transmitidos à Deloitte constituíam, para esta, dados pessoais.

101 Assim, a AEPD não tem razão ao sustentar que não era necessário averiguar se a Deloitte podia voltar a identificar os autores das informações que lhe tinham sido transmitidas, ou se isso era razoavelmente possível.

102 Não se pode deixar de observar que, na decisão revista, a AEPD considerou que o facto de o CUR deter as informações suplementares que permitiam voltar a identificar os autores dos comentários era suficiente para concluir que as informações transmitidas à Deloitte eram dados pessoais, reconhecendo simultaneamente que os dados de identificação recebidos na fase de registo não tinham sido comunicados à Deloitte.

103 Assim, resulta da decisão revista que a AEPD se limitou a examinar a possibilidade de voltar a identificar os autores dos comentários do ponto de vista do CUR e não da Deloitte.

104 Ora, resulta do n.^o 45 do Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779), referido no n.^o 92, supra, que cabia à AEPD determinar se a possibilidade de combinar as informações que tinham sido transmitidas à Deloitte com as informações suplementares detidas pelo CUR constituía um meio que apresenta uma probabilidade razoável de ser utilizado pela Deloitte para identificar os autores dos comentários.

105 Por conseguinte, dado que a AEPD não procurou saber se a Deloitte dispunha de meios legais e exequíveis que lhe permitiam aceder às informações suplementares necessárias para voltar a identificar os autores dos comentários, a AEPD não podia concluir que as informações transmitidas à Deloitte constituíam informações relativas a uma «pessoa singular identificável» na aceção do artigo 3.^o, ponto 1, do Regulamento 2018/1725.

106 Resulta de tudo o que precede que há que julgar procedente o primeiro fundamento e, por conseguinte, anular a decisão revista, sem que seja necessário examinar o segundo fundamento.

Quanto às despesas

107 Nos termos do artigo 134.^o, n.^o 1, do Regulamento de Processo do Tribunal Geral, a parte vencida é condenada nas despesas se a parte vencedora o tiver requerido.

108 Tendo a AEPD sido vencida no essencial dos seus pedidos, há que condená‑la nas despesas, em conformidade com o pedido do CUR.

Pelos fundamentos expostos,

O TRIBUNAL GERAL (Oitava Secção alargada)

decide:

1) É anulada a Decisão revista da Autoridade Europeia para a Proteção de Dados (AEPD) de 24 de novembro de 2020, adotada na sequência do pedido de reapreciação apresentado pelo Conselho Único de Resolução (CUR) da Decisão da AEPD de 24 de junho de 2020 relativa a cinco reclamações apresentadas por vários reclamantes (processos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122).

2) É negado provimento ao recurso quanto ao restante.

3) A AEPD é condenada nas despesas.

Kornezov

De Baere

Petrlík

Kecsmár

Kingston

Proferido em audiência pública no Luxemburgo, em 26 de abril de 2023.

Assinaturas

* Língua do processo: inglês.