Edição provisória
CONCLUSÕES DO ADVOGADO‑GERAL
JEAN RICHARD DE LA TOUR
apresentadas em 25 de janeiro de 2024 (1)
Processo C‑757/22
Meta Platforms Ireland Limited
contra
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.
[pedido de decisão prejudicial apresentado pelo Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha)]
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 12.°, n.° 1, primeiro período — Transparência das informações — Artigo 13.°, n.° 1, alíneas c) e e) — Obrigação de informação do responsável pelo tratamento — Artigo 80.°, n.° 2 — Representação dos titulares dos dados por uma associação de defesa dos interesses dos consumidores — Ação coletiva intentada sem mandato e independentemente da violação de direitos concretos do titular dos dados — Ação baseada na violação da obrigação de informação do responsável pelo tratamento — Conceito de violação dos direitos do titular dos dados “em virtude do tratamento”»
I. Antecedentes do processo, factos do litígio no processo principal e nova questão prejudicial
1. No presente processo, o Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha) submete novamente uma questão prejudicial relativa à interpretação do artigo 80.°, n.° 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (2).
2. Em conformidade com esta disposição, os Estados‑Membros podem prever que um organismo, organização ou associação, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado‑Membro direito a apresentar uma reclamação à autoridade de controlo, nos termos do artigo 77.° deste regulamento, e a exercer os direitos a que se referem os artigos 78.° e 79.° deste, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento dos dados pessoais.
3. O pedido de decisão prejudicial foi apresentado no âmbito de um litígio que opõe a Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited, cuja sede social se situa na Irlanda, ao Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Federação das Associações de Consumidores dos Estados Federados, Alemanha) (a seguir «Federação») a respeito da alegada violação, pela Meta Platforms Ireland, da legislação alemã relativa à proteção de dados pessoais, que constitui, simultaneamente, uma prática comercial desleal, a violação de uma lei em matéria de proteção dos consumidores e a violação da proibição de utilização de cláusulas contratuais gerais nulas.
4. Trata‑se do mesmo litígio que foi apreciado no processo que deu origem ao Acórdão de 28 de abril de 2022, Meta Platforms Ireland (3), cujos factos podem ser resumidos da seguinte forma (4).
5. A Meta Platforms Ireland, que gere a oferta dos serviços da rede social em linha Facebook na União Europeia, é responsável pelo tratamento de dados pessoais dos utilizadores desta rede social na União. A Facebook Germany GmbH, com sede na Alemanha, promove, no endereço www.facebook.de, a venda de espaços publicitários. A plataforma Internet Facebook contém, nomeadamente no endereço Internet www.facebook.de, um espaço denominado «App‑Zentrum» («Centro de Aplicações») no qual a Meta Platforms Ireland põe à disposição dos utilizadores jogos gratuitos fornecidos por terceiros. Quando o utilizador consulta o Centro de Aplicações de alguns desses jogos, vê a indicação de que a utilização da aplicação em causa permite à sociedade de jogos obter um determinado número de dados pessoais e o autoriza a proceder a publicações em nome desse utilizador, tais como a sua pontuação e outras informações. Esta utilização implica a aceitação, por parte do utilizador, das cláusulas contratuais gerais da aplicação e da sua política em matéria de proteção de dados. Além disso, no caso de um determinado jogo, é indicado que a aplicação está autorizada a publicar o estado, fotografias e outras informações em nome desse mesmo utilizador.
6. A Federação, organismo com legitimidade processual ativa ao abrigo do § 4 Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) (Lei relativa às Ações Inibitórias de Violações do Direito do Consumo e de Outras Violações), de 26 de novembro de 2001 (5), considera que as indicações fornecidas pelos jogos em causa no Centro de Aplicações são desleais, nomeadamente devido ao desrespeito das condições legais aplicáveis à obtenção de um consentimento válido do utilizador nos termos das disposições que regulam a proteção de dados. Além disso, considera que a indicação segundo a qual a aplicação está autorizada a publicar determinadas informações pessoais do utilizador em nome deste constitui uma cláusula contratual geral que desfavorece indevidamente o utilizador.
7. Neste contexto, a Federação intentou no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha) uma ação inibitória contra a Meta Platforms Ireland, baseada no § 3a do Gesetz gegen den unlauteren Wettbewerb (Lei contra a Concorrência Desleal), de 3 de julho de 2004 (6), no § 2, n.° 2, primeiro período, ponto 11, da Lei relativa às Ações Inibitórias e no Bürgerliches Gesetzbuch (Código Civil). Esta ação foi intentada independentemente da violação concreta do direito à proteção dos dados do titular dos dados e sem mandato desse titular.
8. O Landgericht Berlin (Tribunal Regional de Berlim) condenou a Meta Platforms Ireland em conformidade com os pedidos da Federação. Foi negado provimento ao recurso interposto pela Meta Platforms Ireland no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha). A Meta Platforms Ireland interpôs, então, no órgão jurisdicional de reenvio um recurso de «Revision» da decisão adotada pelo órgão jurisdicional de recurso em segunda instância.
9. No âmbito desse recurso, o órgão jurisdicional de reenvio considerou que a ação da Federação era procedente, uma vez que a Meta Platforms Ireland tinha violado o § 3a da Lei contra a Concorrência Desleal, bem como o § 2, n.° 2, primeiro período, ponto 11, da Lei relativa às Ações Inibitórias, e tinha utilizado uma cláusula contratual geral inválida, na aceção do § 1 da Lei relativa às Ações Inibitórias.
10. Todavia, esse órgão jurisdicional teve dúvidas quanto à admissibilidade da ação da Federação. Interrogava‑se, em especial, sobre se a legitimidade processual ativa da Federação podia resultar do artigo 80.°, n.° 2, do RGPD. Por essa razão, submeteu ao Tribunal de Justiça uma questão prejudicial para obter uma interpretação desta disposição.
11. Em resposta a essa questão, o Tribunal de Justiça declarou, no Acórdão Meta Platforms Ireland, que o artigo 80.°, n.° 2, do RGPD deve ser interpretado no sentido de que não se opõe a uma legislação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que lhe tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas, desde que o tratamento dos dados em causa seja suscetível de afetar os direitos conferidos por esse regulamento às pessoas singulares identificadas ou identificáveis (7).
12. Assim, o Tribunal de Justiça clarificou o âmbito de aplicação material do meio processual da ação coletiva contra o presumível autor de uma violação da proteção dos dados pessoais, previsto no artigo 80.°, n.° 2, do RGPD.
13. Em especial, o Tribunal de Justiça declarou que, para efeitos da propositura de uma ação coletiva, não se pode exigir que uma entidade que preencha os requisitos mencionados no artigo 80.°, n.° 1, do RGPD proceda à identificação individual prévia do titular dos dados especificamente afetado por um tratamento de dados pretensamente contrário às disposições deste regulamento (8). Com efeito, a designação de uma categoria ou de um grupo de pessoas afetadas por tal tratamento pode também ser suficiente para efeitos da propositura dessa ação coletiva (9).
14. O Tribunal de Justiça declarou igualmente que, ao abrigo do artigo 80.°, n.° 2, do RGPD, o exercício de uma ação coletiva também não está sujeito à existência de uma violação concreta dos direitos conferidos à pessoa pelas regras em matéria de proteção de dados (10). Com efeito, segundo o Tribunal de Justiça, a propositura de uma ação coletiva pressupõe apenas que a entidade visada nessa disposição «considere» que os direitos de um titular dos dados previstos nesse regulamento foram violados devido ao tratamento dos seus dados pessoais e, portanto, que alegue a existência de um tratamento de dados contrário às disposições do referido regulamento (11). Daqui resulta que, para reconhecer legitimidade processual ativa a essa entidade, ao abrigo do artigo 80.°, n.° 2, do RGPD, basta alegar que o tratamento de dados em causa é suscetível de afetar os direitos conferidos às pessoas singulares identificadas ou identificáveis por esse regulamento, sem que seja necessário provar um prejuízo real sofrido pelo titular dos dados, numa situação determinada, pela violação dos seus direitos(12).
15. Embora o órgão jurisdicional de reenvio já tenha obtido indicações por parte do Tribunal de Justiça para poder determinar se a ação inibitória que foi intentada pela Federação pode ser considerada admissível à luz dos requisitos previstos no artigo 80.°, n.° 2, do RGPD, entende dever ainda levantar uma dúvida sobre a interpretação a dar a esta disposição. Com efeito, esse órgão jurisdicional sublinha que a legitimidade processual ativa da Federação depende da questão de saber se, na aceção da referida disposição, esta entidade alega no seu recurso que os direitos do titular dos dados ao abrigo deste regulamento foram violados «em virtude do tratamento».
16. Segundo o órgão jurisdicional de reenvio, não é evidente que este requisito relativo ao âmbito de aplicação material do artigo 80.°, n.° 2, do RGPD esteja preenchido nas circunstâncias do caso em apreço.
17. Com efeito, esse órgão jurisdicional refere que a Federação invoca, como fundamento da ação, a violação da obrigação de informação prevista no artigo 12.°, n.° 1, primeiro período, do RGPD, em conjugação com o artigo 13.°, n.° 1, alíneas c) e e), deste regulamento, no que respeita à finalidade do tratamento dos dados e ao destinatário dos dados pessoais. Importa, segundo o referido órgão jurisdicional, determinar se se pode considerar que a Federação invoca a violação de direitos «em virtude do tratamento», na aceção do artigo 80.°, n.° 2, do referido regulamento.
18. Mais precisamente, o órgão jurisdicional de reenvio considera, por um lado, que permanece uma incerteza quanto à questão de saber se, no caso em apreço, a violação da obrigação de informação decorrente do artigo 12.°, n.° 1, primeiro período, e do artigo 13.°, n.° 1, alíneas c) e e), do RGPD está abrangido pelo conceito de «tratamento», na aceção do artigo 4.°, ponto 2, deste, e se este conceito engloba também as situações que precedem o início da recolha dos dados pessoais (13).
19. Por outro lado, esse órgão jurisdicional entende que não está claramente demonstrado se, num caso como o que está em causa no processo principal, a violação da obrigação de informação ocorreu «em virtude» de um tratamento de dados pessoais, na aceção do artigo 80.°, n.° 2, do RGPD. A este respeito, o referido órgão jurisdicional sublinha que a formulação «em virtude» pode dar a entender que a entidade que intenta uma ação coletiva deve, para que essa ação seja admissível, invocar a violação dos direitos do titular dos dados ao abrigo deste regulamento que resulta de uma operação de tratamento de dados, na aceção do artigo 4.°, ponto 2, do referido regulamento, e que, portanto, é ulterior a essa operação (14).
20. Nestas circunstâncias, o Bundesgerichtshof (Supremo Tribunal de Justiça Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:
«É invocada a violação [dos direitos do titular dos dados] “em virtude do tratamento”[,] na aceção do artigo 80.°, n.° 2, do RGPD, quando uma associação para proteção dos interesses dos consumidores fundamenta a sua ação no facto de os direitos do titular dos dados terem sido violados por não terem sido cumpridas as obrigações de informação previstas no artigo 12.°, n.° 1, primeiro período, do RGPD, em conjugação com o artigo 13.°, n.° 1, alíneas c) e e), do RGPD, relativas à finalidade do tratamento de dados e ao destinatário dos dados pessoais?»
21. Foram apresentadas observações escritas pela Meta Platforms Ireland, pela Federação, pelo Governo Alemão, pelo Governo Português e pela Comissão Europeia.
22. Em 23 de novembro de 2023, realizou‑se uma audiência de alegações, na presença da Meta Platforms Ireland, do Governo Alemão e da Comissão.
II. Análise
23. Como referi anteriormente, o órgão jurisdicional de reenvio tem dúvidas quanto à questão de saber se, nas circunstâncias do caso em apreço, a ação coletiva intentada pela Federação preenche o requisito enunciado no artigo 80.°, n.° 2, do RGPD, segundo o qual a entidade que deu origem a essa ação considera que os direitos do titular dos dados previstos neste regulamento foram violados «em virtude do tratamento» dos dados pessoais.
24. Para compreender bem o contexto em que esse órgão jurisdicional pede ao Tribunal de Justiça esclarecimentos complementares sobre o âmbito de aplicação material desta disposição, importa recordar que, como fundamento da ação, a Federação invoca a violação de uma obrigação de informação que incumbe à Meta Platforms Ireland sobre a finalidade e o alcance do consentimento do utilizador para o tratamento dos seus dados pessoais. Mais precisamente, o objeto do litígio é a apresentação de jogos no Centro de Aplicações que se encontra na plataforma Internet da Meta Platforms Ireland e a menção segundo a qual cada aplicação está autorizada a publicar certas informações pessoais do utilizador em seu nome. A Federação intentou esta ação independentemente da violação de direitos concretos de um titular de dados e sem ser mandatada por esse titular, o que está em conformidade com a referida disposição, como o Tribunal de Justiça reconheceu no Acórdão Meta Platforms Ireland (15).
25. As divergências de opinião sobre se a Federação tem legitimidade processual ativa ao abrigo do artigo 80.°, n.° 2, do RGPD centram‑se agora na declaração do órgão jurisdicional de reenvio, segundo a qual a ação coletiva intentada por esta entidade não tem por objeto a questão de saber se a Meta Platforms Ireland viola os direitos à proteção de dados de um utilizador no momento em que este prime o botão «Jogar agora» ou «Jogar jogos» no Centro de Aplicações e assim desencadeia, eventualmente, um tratamento dos seus dados pessoais. Por outro lado, é facto assente que também não é objeto da ação intentada pela Federação a questão de saber se as operações automatizadas relativas aos dados pessoais de um utilizador, realizadas após a ativação desse botão, violam os direitos à proteção de dados deste último.
26. Em suma, o litígio cristaliza‑se em torno da questão de saber se, para que essa associação tenha legitimidade processual ativa ao abrigo do artigo 80.°, n.° 2, do RGPD, basta que invoque a violação de uma obrigação de informação sem contestar, enquanto tal, o tratamento de dados que resulta da operação que consiste em premir o botão «Jogar agora» ou «Jogar jogos», uma vez que esta disposição exige a violação dos direitos do titular dos dados «em virtude do tratamento».
27. É por esta razão que as interrogações do órgão jurisdicional de reenvio se concentram em dois elementos, a saber, por um lado, o alcance do conceito de «tratamento» e, por outro, o significado da expressão «em virtude do tratamento» que figura na referida disposição.
28. Assim, esse órgão jurisdicional interroga‑se sobre se a obrigação de comunicar ao titular dos dados, de forma concisa, transparente, inteligível e de fácil acesso, numa linguagem clara e simples, as informações relativas à finalidade do tratamento dos dados pessoais e ao destinatário dos mesmos, que decorre do artigo 12.°, n.° 1, primeiro período, e do artigo 13.°, n.° 1, alíneas c) e e), do RGPD, está abrangida pelo conceito de «tratamento», na aceção do artigo 4.°, ponto 2, deste regulamento.
29. Nos termos do artigo 4.°, ponto 2, do mencionado regulamento, o «tratamento» é definido como «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição».
30. Resulta da redação desta disposição, nomeadamente da expressão «uma operação», que o legislador da União pretendeu dar ao conceito de «tratamento» um alcance amplo. Esta interpretação é corroborada pelo caráter não exaustivo, expresso pela locução «tais como», das operações mencionadas na referida disposição (16). Segundo o Tribunal de Justiça, tal é conforme com o objetivo que consiste em garantir o caráter efetivo do direito fundamental à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, mencionado no considerando 1 do RGPD, que preside à aplicação deste regulamento (17).
31. Em apoio da tese segundo a qual a obrigação de informação que decorre do artigo 12.°, n.° 1, primeiro período, e do artigo 13.°, n.° 1, alíneas c) e e), do RGPD pode estar abrangida pelo conceito de «tratamento», na aceção do artigo 4.°, ponto 2, deste regulamento, o órgão jurisdicional de reenvio menciona o que o Tribunal de Justiça declarou no Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais) (18).
32. No processo que deu origem a esse acórdão, o Valsts ieņēmumu dienests (Autoridade Tributária, Letónia) pedia ao operador económico em causa que restabelecesse o acesso dos serviços dessa Autoridade aos números de chassis dos veículos objeto de um anúncio publicado no seu portal Internet e aos números de telefone dos vendedores, e que lhe fornecesse informações sobre os anúncios publicados nesse portal.
33. Neste contexto, o Tribunal de Justiça considerou que esse pedido, através do qual a Autoridade Tributária de um Estado‑Membro solicita a um operador económico a comunicação e a disponibilização de dados pessoais que este último está obrigado a fornecer e disponibilizar à referida Autoridade nos termos da legislação nacional desse Estado‑Membro, dá início a um processo de «recolha» desses dados, na aceção do artigo 4.°, ponto 2, do RGPD (19). O órgão jurisdicional de reenvio deduz desse facto que o conceito de «tratamento», na aceção desta disposição, abrange as operações que se limitam a «dar início» a uma recolha de dados pessoais e, portanto, as operações que estão a montante da operação que o legislador da União considerou expressamente como um exemplo de tratamento, fazendo uma aproximação com a situação em causa no processo principal.
34. No entanto, considero que esta situação é claramente distinta da que deu origem ao Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais) (20). Com efeito, no caso em apreço, não se trata de associar a um processo de tratamento uma operação que permite desencadeá‑lo, mas antes de identificar a relação entre uma obrigação de informação, como a que decorre do artigo 12.°, n.° 1, primeiro período, e do artigo 13.°, n.° 1, alíneas c) e e), do RGPD, e um determinado tratamento.
35. A este respeito, considero que, por muito amplo que seja, o alcance do conceito de «tratamento», na aceção do artigo 4.°, ponto 2, do RGPD, não pode estender‑se a tal obrigação de informação. Com efeito, esta obrigação não implica uma ação direta ou indireta sobre dados pessoais. A referida obrigação é antes uma condição de licitude do tratamento desses dados.
36. Há que sublinhar que o artigo 12.° deste regulamento enuncia obrigações gerais que incumbem ao responsável pelo tratamento no que respeita à transparência das informações e das comunicações, bem como as modalidades de exercício dos direitos do titular dos dados.
37. Em especial, o artigo 12.°, n.° 1, primeiro período, do referido regulamento prevê que «[o] responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.° e 14.° e qualquer comunicação prevista nos artigos 15.° a 22.° e 34.° a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças».
38. O artigo 13.° do RGPD, sob a epígrafe «Informações a facultar quando os dados pessoais são recolhidos junto do titular», dispõe, no seu n.° 1, alíneas c) e e):
«Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:
[...]
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
[...]
e) Os destinatários ou categorias de destinatários dos dados pessoais, se os houver [...]»
39. Importa recordar que o artigo 6.°, n.° 1, primeiro parágrafo, do RGPD prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, um tratamento deve ser abrangido por um dos casos previstos nesta disposição (21).
40. Nos termos do artigo 6.°, n.° 1, primeiro parágrafo, alínea a), deste regulamento, o tratamento de dados pessoais é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para uma ou mais finalidades específicas (22).
41. Não tendo esse consentimento sido prestado, ou quando não tenha sido prestado de forma livre, específica, informada e inequívoca na aceção do artigo 4.°, ponto 11, do RGPD, ou quando o tratamento em causa não cumpre um dos requisitos de necessidade mencionados no artigo 6.°, n.° 1, primeiro parágrafo, alíneas b) a f), deste regulamento, esse tratamento reveste caráter ilícito (23).
42. No que respeita ao requisito resultante do artigo 4.°, ponto 11, do RGPD, segundo o qual o consentimento deve ser «informado», este implica, em conformidade com o artigo 13.° deste regulamento, lido à luz do seu considerando 42, que o responsável pelo tratamento faculte ao titular dos dados informação sobre todas as circunstâncias que rodeiam o tratamento dos dados, de forma inteligível e de fácil acesso, numa linguagem clara e simples, devendo esse titular, nomeadamente, conhecer o tipo de dados a tratar, a identidade do responsável pelo tratamento, a duração e as modalidades desse tratamento, bem como as finalidades a que o tratamento se destina. Tal informação deve permitir ao referido titular determinar facilmente as consequências do consentimento que possa vir a dar e garantir que esse consentimento seja dado com pleno conhecimento de causa (24).
43. Ora, observo que, como refere o órgão jurisdicional de reenvio (25), a Federação contesta a apresentação das indicações fornecidas ao premir o botão «Jogar agora» do Centro de Aplicações pelo facto de serem desleais, nomeadamente do ponto de vista da inobservância das condições legais aplicáveis à obtenção de um consentimento válido do utilizador nos termos das disposições que regulam a proteção de dados.
44. Dito de outro modo, o que está subjacente à ação intentada pela Federação, tendo em conta a deficiente apresentação do Centro de Aplicações, invocada por esta entidade, é o facto de o titular de dados poder vir a premir o botão «Jogar agora» sem dispor das informações necessárias que lhe permitam determinar com facilidade as consequências do consentimento que pode dar ao tratamento dos seus dados pessoais na sequência de ter premido esse botão, não estando garantido que esse consentimento é dado com pleno conhecimento de causa.
45. Nestas circunstâncias, sou da opinião de que a Federação alega no âmbito da sua ação, em conformidade com o previsto no artigo 80.°, n.° 2, do RGPD, que «os direitos do titular dos dados, nos termos previstos [deste] regulamento, foram violados em virtude do tratamento».
46. Com efeito, por um lado, tanto o artigo 12.° como o artigo 13.° do RGPD fazem parte do capítulo III deste regulamento, intitulado «Direitos do titular dos dados». Tendo em conta a obrigação de informação que impende sobre o responsável pelo tratamento por força destes artigos, os direitos deles decorrentes para os titulares dos dados fazem parte daqueles que a ação coletiva, prevista no artigo 80.°, n.° 2, do referido regulamento, visa proteger.
47. Por outro lado, a alegada violação do direito dos titulares dos dados de serem suficientemente informados de todas as circunstâncias que rodeiam um tratamento de dados pessoais, nomeadamente a sua finalidade e o destinatário desses dados, é suscetível de impedir que exprimam um consentimento «informado», na aceção do artigo 4.°, ponto 11, do RGPD, o que pode tornar esse tratamento ilícito.
48. Por conseguinte, para efeitos do exercício de uma ação coletiva nos termos do artigo 80.°, n.° 2, deste regulamento, basta que uma entidade invoque a violação da obrigação de informação que incumbe ao responsável pelo tratamento, especificando o tratamento em causa, que é, no caso em apreço, aquele que ocorre quando uma pessoa prime o botão «Jogar agora». Deve tratar‑se de um tratamento de dados suscetível de afetar os direitos conferidos às pessoas singulares identificadas ou identificáveis pelo referido regulamento (26), o que implica que esse tratamento deve existir, não devendo, portanto, ter um caráter puramente hipotético.
49. Além disso, na minha opinião, é indiferente que esta entidade invoque a violação de uma obrigação que precede o tratamento de dados pessoais. É o caso da obrigação de informação, que deve ser exercida, o mais tardar, no momento da recolha de dados, em conformidade com o que prevê o artigo 13.°, n.° 1, do RGPD.
50. Assim, o segmento da frase «em virtude do tratamento», mencionado no artigo 80.°, n.° 2, deste regulamento, não significa de modo nenhum que o direito, cuja declaração de violação a ação prevista neste artigo visa obter, deva necessariamente dizer respeito a uma fase posterior a uma operação constitutiva de um «tratamento», na aceção do artigo 4.°, ponto 2, do referido regulamento. Dito de outro modo, não deve retirar‑se deste segmento de frase nenhum requisito de sequência temporal que implique que a violação dos direitos do titular dos dados previstos no RGPD deva ocorrer numa fase subsequente a esse tratamento.
51. Pelo contrário, o que importa é que exista uma relação entre o respeito pelos direitos em causa e o tratamento de dados em questão. É o que acontece quando a violação desses direitos tem como consequência tornar esse tratamento ilícito. A ilicitude do tratamento decorre da violação da obrigação de informação. Ambos são indissociáveis.
52. Daqui resulta que o requisito segundo o qual uma entidade pode intentar uma ação coletiva nos termos do artigo 80.°, n.° 2, do RGPD se considerar que os direitos do titular dos dados previstos neste regulamento foram violados «em virtude do tratamento» não exige, na minha opinião, que essa entidade invoque a violação de tais direitos que resulta de uma operação de tratamento de dados, na aceção do artigo 4.°, ponto 2, deste regulamento, e que é, portanto, posterior a essa operação. Basta que refira a existência de uma relação entre um tratamento de dados pessoais e a violação de direitos protegidos pelo RGPD.
53. No caso em apreço, é, portanto, de reduzida importância o facto de a Federação invocar a violação de uma obrigação de informação independentemente da circunstância de o titular dos dados premir o botão «Jogar agora» no Centro de Aplicações, uma vez que tal obrigação, uma vez que é suscetível de afetar as condições de licitude do tratamento resultante da ativação desse botão, apresenta incontestavelmente uma relação com esse tratamento.
54. Esta interpretação é conforme não só com a função preventiva da ação coletiva, prevista no artigo 80.°, n.° 2, do RGPD (27), mas também porque contribui para reforçar os direitos dos titulares dos dados (28), com o objetivo deste regulamento, que resulta do seu considerando 10 e que consiste em assegurar na União um nível de proteção elevado das liberdades e dos direitos fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais (29).
55. Acrescento que, na minha opinião, seria incoerente adotar uma interpretação restritiva do âmbito de aplicação material do artigo 80.°, n.° 2, do referido regulamento, quando o artigo 79.°, n.° 1, do RGPD prevê, em termos semelhantes, o direito de todos os titulares de dados à ação judicial e não existe nenhuma razão para excluir do âmbito de aplicação material dessa ação os direitos que decorrem da obrigação de informação prevista no artigo 12.°, n.° 1, primeiro período, deste regulamento, em conjugação com o artigo 13.°, n.° 1, alíneas c) e e), do mesmo regulamento.
56. Por conseguinte, considero que o artigo 80.°, n.° 2, do RGPD deve ser interpretado no sentido de que a condição segundo a qual a entidade competente, para poder intentar uma ação coletiva ao abrigo desta disposição, deve alegar que considera que os direitos do titular dos dados previstos neste regulamento foram violados em virtude do tratamento pressupõe que essa entidade alegue a existência de um tratamento de dados pessoais e de uma relação entre a violação desses direitos e esse tratamento. Tal condição está preenchida quando a ação tem por fundamento, em relação a um tratamento de dados pessoais, a violação pelo responsável pelo tratamento da obrigação de informação prevista no artigo 12.°, n.° 1, primeiro período, do referido regulamento, lido em conjugação com o artigo 13.°, n.° 1, alíneas c) e e), do mesmo regulamento, na medida em que essa violação seja suscetível de tornar esse tratamento ilícito.
III. Conclusão
57. Tendo em conta as considerações anteriores, proponho que se responda à questão prejudicial submetida pelo Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha) nos seguintes termos:
O artigo 80.°, n.° 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),
deve ser interpretado no sentido de que:
a condição segundo a qual a entidade competente, para poder intentar uma ação coletiva ao abrigo desta disposição, deve alegar que considera que os direitos do titular dos dados previstos neste regulamento foram violados em virtude do tratamento pressupõe que essa entidade alegue a existência de um tratamento de dados pessoais e de uma relação entre a violação desses direitos e esse tratamento. Tal condição está preenchida quando a ação tem por fundamento, em relação a um tratamento de dados pessoais, a violação pelo responsável pelo tratamento da obrigação de informação prevista no artigo 12.°, n.° 1, primeiro período, do referido regulamento, lido em conjugação com o artigo 13.°, n.° 1, alíneas c) e e), do mesmo regulamento, na medida em que essa violação seja suscetível de tornar esse tratamento ilícito.