CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

CONCLUSÕES DO ADVOGADO‑GERAL

JEAN RICHARD DE LA TOUR

apresentadas em 2 de dezembro de 2021 (1)

Processo C‑319/20

Facebook Ireland Limited

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[pedido de decisão prejudicial apresentado pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha)]

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 80.o, n.o 2 — Direito a uma tutela jurisdicional efetiva — Representação dos titulares dos dados por uma associação sem fins lucrativos – Legitimidade ativa de uma associação de defesa dos interesses dos consumidores»

I. Introdução

1. Na economia moderna, marcada pelo desenvolvimento da economia digital, o tratamento de dados pessoais é suscetível de afetar as pessoas não apenas na sua qualidade de pessoas singulares beneficiárias dos direitos conferidos pelo Regulamento (UE) 2016/679 (2) mas também na sua qualidade de consumidores.

2. Essa qualidade tem como consequência que as associações de defesa dos interesses dos consumidores estão cada vez mais frequentemente na origem de ações que visam fazer cessar os comportamentos de determinados responsáveis de tratamentos que violam simultaneamente direitos protegidos por esse regulamento e por outras normas constantes do direito da União e do direito nacional na matéria, nomeadamente normas de proteção dos direitos dos consumidores e de combate às práticas comerciais desleais.

3. O presente pedido de decisão prejudicial foi apresentado no âmbito de um litígio que opõe a Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Federação das Associações de Consumidores dos Estados Federados, a seguir «Federação») à Facebook Ireland Limited, cuja sede social se situa na Irlanda. A Federação acusa esta sociedade de violação da legislação alemã relativa à proteção de dados pessoais, que constitui, ao mesmo tempo, uma prática comercial desleal, uma violação de uma lei em matéria de proteção dos consumidores e uma violação da proibição de utilização de cláusulas contratuais gerais inválidas.

4. Este pedido convida essencialmente o Tribunal de Justiça a interpretar o artigo 80.^o, n.^o 2, do Regulamento 2016/679 com vista a determinar se esta disposição se opõe a que associações de defesa dos interesses dos consumidores conservem, após a entrada em vigor deste regulamento, a legitimidade ativa que o direito nacional lhes concede para pôr termo a comportamentos que constituem simultaneamente uma violação dos direitos conferidos pelo referido regulamento e uma violação de normas que têm por objeto a proteção dos direitos dos consumidores e o combate às práticas comerciais desleais. Na medida em que essa legitimidade ativa foi considerada compatível com a Diretiva 95/46/CE (3) pelo Tribunal de Justiça (4), caberá a este declarar se o Regulamento 2016/679 alterou ou não o estado do direito quanto a este aspeto.

II. Quadro jurídico

A. Regulamento 2016/679

5. O artigo 80.^o do Regulamento 2016/679, sob a epígrafe «Representação dos titulares dos dados», tem a seguinte redação (5):

«1. O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação, exercer os direitos previstos nos artigos 77.^o, 78.^o e 79.^o, e exercer o direito de receber uma indemnização referido no artigo 82.^o, se tal estiver previsto no direito do Estado‑Membro.

2. Os Estados‑Membros podem prever que o organismo, a organização ou a associação referidos no n.^o 1 do presente artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado‑Membro direito a apresentar uma reclamação à autoridade de controlo competente nos termos do artigo 77.^o e a exercer os direitos a que se referem os artigos 78.^o e 79.^o, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento.»

B. Direito alemão

6. O § 3, n.^o 1, da Gesetz gegen den unlauteren Wettbewerb (Lei Contra a Concorrência Desleal) (6), de 3 de julho de 2004, na sua versão aplicável ao litígio no processo principal, enuncia:

«As práticas comerciais desleais são proibidas.»

7. O § 3a da UWG tem a seguinte redação:

«Pratica um ato desleal quem infringe uma disposição legal destinada, nomeadamente, a regular o comportamento dos operadores no mercado, quando a infração é suscetível de prejudicar significativamente os interesses de consumidores, de outros operadores no mercado ou dos concorrentes.»

8. O § 8, n.^os 1 e 3, da UWG dispõe:

«(1) Quem praticar um ato comercial ilícito nos termos do § 3 ou do § 7 pode ser demandado em ação destinada à eliminação dos efeitos produzidos ou, em caso de risco de repetição, em ação inibitória [abstenção]. O direito à abstenção nasce logo que exista um risco de uma violação do § 3 ou do § 7.

[…]

(3) São titulares dos direitos conferidos pelo n.^o 1:

[…]

3. as entidades qualificadas que demonstrem estar inscritas na lista das entidades qualificadas a que se refere o § 4 da Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen [Lei Relativa às Ações inibitórias em Matéria de Infração aos Direitos dos Consumidores e de Outras Infrações (7)], de 26 de novembro de 2001, ou na lista da Comissão Europeia referida no artigo 4.^o, n.^o 3, da Diretiva 2009/22/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2009, relativa às ações inibitórias em matéria de proteção dos interesses dos consumidores [(8)];

[…]»

9. O § 2 da UKlaG prevê:

«(1) Quem infringir normas de proteção dos consumidores (Leis Relativas à Proteção dos Consumidores), sem ser através da utilização ou recomendação de cláusulas contratuais gerais destinadas à proteção dos consumidores, pode ser demandado, no interesse da proteção dos consumidores, em ação inibitória e em ação destinada à eliminação imediata dos efeitos produzidos […]

(2) São consideradas normas de proteção dos consumidores, na aceção da presente disposição, em especial:

[…]

11. as normas que definem a admissibilidade:

a) da recolha de dados pessoais dos consumidores por uma empresa ou

b) o tratamento ou a utilização de dados pessoais dos consumidores que foram recolhidos por uma empresa,

quando os dados são recolhidos, tratados ou utilizados para fins publicitários, para sondagens de mercado e de opinião, para a atividade de uma agência de informação, para a criação de perfis de personalidade e de utilizador, para qualquer outro comércio de dados ou para outros fins comerciais semelhantes.

[…]»

10. O Bundesgerichthof (Supremo Tribunal Federal, Alemanha) indica que, por força do § 3, n.^o 1, primeiro período, ponto 1, da UKlaG, os organismos que têm legitimidade ativa, na aceção desta disposição, podem intentar uma ação inibitória por violação da legislação em matéria de proteção dos consumidores, que abrange, igualmente, em conformidade com o §2, n.^o 2, primeiro período, ponto 11, desta lei, as disposições relativas à admissibilidade da recolha, do tratamento e da utilização, por um empresário, de dados pessoais dos consumidores para fins publicitários. Além disso, ainda nos termos do § 3, n.^o 1, primeira frase, ponto 1, da UKlaG, os organismos com legitimidade ativa podem exigir, em conformidade com o § 1 da UKlaG, a cessação da utilização de cláusulas contratuais gerais inválidas por força do § 307 do Bürgerliches Gesetzbuch (Código Civil alemão), quando considerem que essas cláusulas violam uma disposição em matéria de proteção de dados.

11. O § 13, n.^o 1, da Telemediengesetz (Lei Relativa às Telecomunicações) (9), de 26 de fevereiro de 2007, tem a seguinte redação:

«O prestador de serviços deve informar o utilizador, de forma compreensível em geral, no início do ato de utilização, sobre o modo, a extensão e a finalidade da recolha e da utilização dos dados pessoais e sobre o tratamento dos seus dados em Estados não abrangidos pelo âmbito de aplicação da [Diretiva 95/46], se essa informação ainda não tiver sido prestada. Nos procedimentos automatizados, que permitem a identificação posterior do utilizador e que preparam a recolha ou a utilização dos dados pessoais, o utilizador deve ser informado no início deste procedimento. O teor da informação deve poder ser consultado a qualquer momento pelo utilizador.»

III. Factos do litígio no processo principal e questão prejudicial

12. Na Alemanha, a Federação está inscrita na lista das entidades com legitimidade ativa nos termos do § 4 da UKlaG. A Facebook Ireland explora, no endereço www.facebook.de, a plataforma Internet Facebook, que permite a partilha de dados pessoais e de outros dados.

13. A plataforma Internet Facebook inclui um espaço denominado «App‑Zentrum» («Centro de aplicações») no qual a Facebook Ireland coloca, nomeadamente, à disposição dos seus utilizadores jogos gratuitos fornecidos por terceiros. Aquando da consulta de certos jogos no Centro de aplicações, em 26 de novembro de 2012, o utilizador podia ver um determinado número de informações pressionando o botão «Sofort spielen» (Jogar agora). Resulta, em substância, dessas informações que a utilização da aplicação em causa permitia à sociedade que fornecia os jogos obter um determinado número de dados pessoais e autorizava‑a a proceder a publicações, em nome do utilizador, de certas informações, como a sua pontuação nos jogos. Esta utilização implicava a aceitação, por parte do utilizador, das cláusulas contratuais gerais da aplicação e da sua política em matéria de proteção de dados. Além disso, no caso do jogo Scrabble, é indicado que a aplicação está autorizada a publicar o estado, fotos e outras informações em nome do utilizador.

14. A Federação critica a apresentação das indicações fornecidas ao pressionar o botão «Jogar agora» do Centro de aplicações pelo facto de serem desleais, nomeadamente devido ao desrespeito das condições legais aplicáveis à obtenção de um consentimento válido do utilizador nos termos das disposições que regulam a proteção de dados. Além disso, considera que a indicação final no caso do jogo Scrabble constitui uma cláusula contratual geral que desfavorece indevidamente o utilizador.

15. Neste contexto, a Federação intentou no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha) uma ação inibitória contra a Facebook Ireland. O órgão jurisdicional de reenvio precisa que esta ação foi intentada independentemente da violação concreta do direito de uma pessoa à proteção dos seus dados pessoais e sem um mandato conferido por essa pessoa.

16. A Federação concluiu pedindo que a Facebook Ireland seja proibida, sob pena de aplicação de sanções pecuniárias compulsórias, «de apresentar jogos, no âmbito de atividades comerciais destinadas a consumidores com residência permanente na […] Alemanha, no sítio Internet correspondente ao endereço www.facebook.com, num “Centro de aplicações”, de tal forma que, ao premir o botão «[Jogar agora]», o consumidor declara que o operador do jogo obtém, através da rede social explorada pela [Facebook Ireland], informações sobre os dados pessoais que aí figuram e está autorizado a transmitir (publicar) informações em nome do consumidor […]».

17. A Federação pediu igualmente que a Facebook Ireland fosse proibida de «incluir nos acordos com consumidores com residência habitual na […] Alemanha a seguinte disposição ou disposições com conteúdo idêntico relativas à utilização de aplicações (apps) no âmbito de uma rede social, bem como de invocar as disposições relativas à transmissão de dados aos operadores de jogos: «Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten» [Esta aplicação está autorizada a publicar, em teu nome, o teu estado, fotos e outras informações]».

18. O Landgericht Berlin (Tribunal Regional de Berlim) condenou a Facebook Ireland em conformidade com os pedidos da Federação. Foi negado provimento ao recurso interposto pela Facebook Ireland no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha).

19. A Facebook Ireland interpôs no órgão jurisdicional de reenvio um recurso de «Revision» da decisão do tribunal de recurso.

20. Quanto ao mérito, o órgão jurisdicional de reenvio considera que o tribunal de recurso teve razão ao julgar procedentes os pedidos da Federação. Com efeito, ao não respeitar as obrigações de informação decorrentes do § 13, n.^o 1, primeiro período, primeira parte do período, da TMG, a Facebook Ireland violou o § 3a da UWG e o § 2, n.^o 2, primeiro período, ponto 11, da UKlaG. O tribunal de recurso considerou acertadamente que as disposições do § 13 da TMG em causa no caso em apreço são disposições legais que regulam o comportamento dos operadores no mercado, na aceção do § 3a da UWG. Trata‑se, além disso, de disposições que, em conformidade com o § 2, n.^o 2, primeiro período, ponto 11, alínea a), da UKlaG, regulam a admissibilidade da recolha, do tratamento ou da utilização, por um empresário, dos dados pessoais de um consumidor que foram recolhidos, tratados ou utilizados para fins publicitários. Por outro lado, o órgão jurisdicional de reenvio considera que, ao não respeitar as obrigações de informação em matéria de proteção de dados aplicáveis no caso em apreço, a Facebook Ireland utilizou uma cláusula contratual geral inválida, na aceção do § 1 da UKlaG.

21. O órgão jurisdicional de reenvio interroga‑se, no entanto, sobre se o tribunal de recurso teve razão em considerar que o recurso da Federação era admissível. Com efeito, interroga‑se sobre a questão de saber se uma associação de defesa dos interesses dos consumidores como a Federação dispõe ainda, desde a entrada em vigor do Regulamento 2016/679, de legitimidade ativa para intentar uma ação nos tribunais cíveis contra violações deste regulamento, e isso independentemente da violação concreta do direito de uma pessoa à proteção dos seus dados pessoais e sem um mandato conferido por essa pessoa, invocando a violação do direito, na aceção do § 3a da UWG, a violação de uma lei em matéria de proteção dos consumidores, na aceção do § 2, n.^o 2, primeiro período, ponto 11, da UKG, ou ainda a utilização de uma cláusula contratual geral inválida em aplicação do § 1 da UKlaG.

22. O órgão jurisdicional de reenvio salienta que a admissibilidade do recurso não suscitava dúvidas antes da entrada em vigor do Regulamento 2016/679. Com efeito, a Federação tinha legitimidade para intentar uma ação inibitória nos tribunais cíveis em conformidade com o § 8, n.^o 3, ponto 3, da UWG e o § 3, n.^o 1, primeiro período, ponto 1, da UKlaG.

23. Segundo esse mesmo órgão jurisdicional, é possível que esse regime jurídico tenha sido alterado com a entrada em vigor do Regulamento 2016/679.

24. Quanto ao mérito, observa que as disposições do § 13, n.^o 1, da TMG já não são aplicáveis desde essa entrada em vigor, sendo agora as obrigações de informação pertinentes as que resultam dos artigos 12.^o a 14.^o do Regulamento 2016/679. Assim, segundo o órgão jurisdicional de reenvio, a Facebook Ireland não respeitou a obrigação que lhe incumbe por força do artigo 12.^o, n.^o 1, primeiro período, deste regulamento, que consiste em fornecer ao titular dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações a que se refere o artigo 13.^o, n.^o 1, alíneas c) e e), do referido regulamento, relativas à finalidade do tratamento dos dados pessoais e ao destinatário dos dados pessoais.

25. Quanto à admissibilidade do recurso, existe, segundo o órgão jurisdicional de reenvio, um debate sobre a questão de saber se os organismos com legitimidade ativa, na aceção do § 4 da UKlaG estão habilitados, desde a entrada em vigor do Regulamento 2016/679 e em conformidade com o § 8, n.^o 3, ponto 3, da UWG, a intentar ações judiciais contra violações das disposições deste regulamento, as quais são de aplicação direta por força do artigo 288.^o, segundo parágrafo, TFUE, invocando a violação do direito, na aceção do § 3a da UWG.

26. A este respeito, o órgão jurisdicional de reenvio refere a existência de pontos de vista divergentes quanto à questão de saber se o próprio Regulamento 2016/679 regula, de forma exaustiva, a fiscalização da aplicação das suas disposições.

27. Esse órgão jurisdicional observa, a propósito da redação do Regulamento 2016/679, que a legitimidade ativa de uma entidade como a Federação, a título do § 8, n.^o 3, ponto 3, da UWG, não está abrangida pelo artigo 80.^o, n.^o 1, desse regulamento, na medida em que a ação inibitória em causa no processo principal não foi intentada no âmbito de um mandato e em nome de um titular dos dados para fazer valer os seus direitos pessoais. Trata‑se, pelo contrário, de uma legitimidade ativa da Federação ao abrigo de um direito que lhe é próprio, a qual lhe permite, em caso de violação do direito, na aceção do § 3a da UWG, agir contra violações das disposições do referido regulamento a título objetivo, independentemente da violação concreta do direito de uma pessoa à proteção dos seus dados pessoais e sem um mandato conferido por essa pessoa.

28. Ora, o órgão jurisdicional de reenvio salienta que o artigo 80.^o, n.^o 2, do Regulamento 2016/679 não prevê uma legitimidade ativa da Federação para fazer aplicar, a título objetivo, o direito relativo à proteção dos dados pessoais. Com efeito, embora esta disposição preveja efetivamente a possibilidade de uma ação intentada por essa entidade independentemente de um mandato conferido pelo titular dos dados, é necessário, contudo, que os direitos de um titular dos dados, conforme previstos nesse regulamento, tenham sido violados em virtude do respetivo tratamento. Por conseguinte, tendo em conta a sua redação, as disposições do artigo 80.^o, n.^o 2, do referido regulamento também não autorizam uma legitimidade ativa das associações que invocam violações objetivas do direito relativo à proteção dos dados pessoais, independentemente da violação dos direitos subjetivos de uma concreta, invocando, como no caso em apreço, o § 3a e o § 8, n.^o 3, ponto 3, da UWG. Conclusão idêntica pode ser retirada do considerando 142, segundo período, do Regulamento 2016/679, que menciona igualmente a violação dos direitos do titular dos dados como condição da legitimidade ativa de uma associação independentemente de um mandato conferido pela pessoa em causa.

29. Além disso, a legitimidade ativa de uma associação como a prevista no § 8.^o, n.^o 3, da UWG não pode, segundo o órgão jurisdicional de reenvio, resultar do artigo 84.^o, n.^o 1, do Regulamento 2016/679, nos termos do qual os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto nesse regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. Com efeito, a legitimidade ativa de uma associação como a referida no § 8, n.^o 3, da UWG não pode ser considerada uma «sanção» na aceção daquela disposição do referido regulamento.

30. O órgão jurisdicional de reenvio salienta, além disso, que a economia do Regulamento 2016/679 não permite determinar com segurança se a legitimidade ativa de um organismo ao abrigo do § 8, n.^o 3, ponto 3, da UWG, ou seja, ao abrigo de uma disposição destinada a combater a concorrência desleal, pode ainda ser reconhecida depois da entrada em vigor deste regulamento. Esse órgão jurisdicional considera que do facto de este regulamento conferir às autoridades de controlo poderes alargados em matéria de supervisão, de investigação e de adoção de medidas corretivas se pode deduzir que incumbe principalmente a essas autoridades fiscalizar a aplicação das disposições do referido regulamento. Isso é contrário a uma interpretação extensiva do artigo 80.^o, n.^o 2, do Regulamento 2016/679. O órgão jurisdicional de reenvio salienta igualmente que, em princípio, a adoção de medidas nacionais de aplicação de um regulamento só é permitida se for expressamente autorizada. Todavia, a expressão «[s]em prejuízo de qualquer outra via de recurso», que consta do artigo 77.^o, n.^o 1, do artigo 78.^o, n.^os 1 e 2, e do artigo 79.^o, n.^o 1, deste regulamento, pode informar a tese de uma regulamentação exaustiva do controlo da aplicação do direito pelo referido regulamento.

31. No que respeita ao objetivo do Regulamento 2016/679, o seu efeito útil pode propugnar pela existência de uma legitimidade ativa das associações ao abrigo do direito da concorrência, em conformidade com o § 8, n.^o 3, ponto 3, da UWG, independentemente da violação concreta do direito de uma pessoa à proteção dos seus dados pessoais, na medida em que desse modo subsistiria uma possibilidade suplementar de fiscalizar a aplicação do direito, a fim de assegurar um nível tão elevado quanto possível de proteção dos dados pessoais, em conformidade com o considerando 10 deste regulamento. Porém, admitir a legitimidade ativa das associações ao abrigo do direito da concorrência pode ser considerado contrário ao objetivo de harmonização prosseguido pelo referido regulamento.

32. O órgão jurisdicional de reenvio manifesta também as suas dúvidas relativamente à manutenção, após a entrada em vigor do Regulamento 2016/679, da legitimidade ativa dos organismos visados no § 3, n.^o 1, primeiro período, ponto 1, da UKlaG para intentar ações em caso de violação das disposições deste regulamento, a título de ações intentadas por incumprimento de uma lei em matéria de proteção dos consumidores, na aceção do § 2, n.^o 2, primeiro período, ponto 11, da UKlaG. O mesmo se diga no que respeita à legitimidade ativa, em conformidade com o § 1 da UKlaG, de uma associação de defesa dos interesses dos consumidores para reclamar a cessação da utilização de cláusulas contratuais gerais inválidas, na aceção do § 307 do Código Civil [alemão].

33. Admitindo que as diferentes disposições nacionais em que assentava, antes da entrada em vigor do Regulamento 2016/679, a legitimidade ativa dos organismos possam ser consideradas uma transposição antecipada do artigo 80.^o, n.^o 2, deste regulamento, o reconhecimento, no caso em apreço, da legitimidade ativa da Federação exigiria, segundo o órgão jurisdicional de reenvio, que esta alegue que os direitos do titular dos dados, previstos no referido regulamento, foram violados em razão de um tratamento de que foram alvo. Ora, esta condição não se encontra preenchida.

34. Com efeito, esse órgão jurisdicional sublinha que os pedidos da Federação têm por objeto a fiscalização abstrata da apresentação do Centro de aplicações pela Facebook Ireland, à luz do direito objetivo da proteção de dados, sem que a Federação tenha invocado a violação de direitos de uma pessoa singular identificada ou identificável, na aceção do artigo 4.^o, n.^o 1, do Regulamento 2016/679.

35. Se se verificar que, na sequência da entrada em vigor do Regulamento 2016/679, a Federação deixou de ter a legitimidade ativa que assenta nas disposições acima referidas do direito alemão, o órgão jurisdicional de reenvio indica que deveria dar provimento ao recurso de «Revision» interposto pela Facebook Ireland e negar provimento à ação da Federação, dado que, por força do direito processual alemão, a legitimidade ativa deve manter‑se até final da última instância.

36. Tendo em conta estas considerações, o Bundesgerichtshof (Supremo Tribunal Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«As disposições do capítulo VIII, em particular o artigo 80.^o, n.^os 1 e 2, e o artigo 84.^o, n.^o 1, do Regulamento (UE) 2016/679, opõem‑se a normas nacionais que, além dos poderes de intervenção das autoridades de controlo responsáveis pela supervisão e aplicação [deste] regulamento e da tutela jurisdicional à disposição dos titulares dos dados, conferem aos concorrentes, por um lado, e às associações, instituições e câmaras autorizadas pela legislação nacional, por outro, a faculdade de intentar ações perante os tribunais cíveis por infrações ao Regulamento (UE) 2016/679, independentemente da violação de direitos concretos de determinados titulares dos dados e sem mandato destes, invocando contra os infratores a inobservância da proibição de práticas comerciais desleais, infrações à legislação relativa à proteção do consumidor ou a inobservância da proibição de utilizar cláusulas contratuais gerais inválidas?»

37. A Federação, a Facebook Ireland, os Governos austríaco e português e a Comissão apresentaram observações escritas. Estas partes, com exceção do Governo português, bem como o Governo alemão apresentaram as suas observações orais na audiência realizada em 23 de setembro de 2021.

IV. Análise

38. Com a sua questão, o órgão jurisdicional de reenvio pergunta, em substância, se o Regulamento 2016/679, em especial o seu artigo 80.^o, n.^o 2, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a proibição das práticas comerciais desleais, a violação de uma lei em matéria de proteção dos consumidores ou a proibição da utilização de cláusulas contratuais gerais inválidas.

39. Nos termos do artigo 4.^o, ponto 1, do Regulamento 2016/679, um «titular dos dados» na aceção deste regulamento é «uma pessoa singular identificada ou identificável». Quando essa pessoa considere que os seus dados pessoais foram objeto de um tratamento contrário às disposições do referido regulamento, dispõe de vários meios de ação.

40. Assim, o titular dos dados tem o direito, nos termos do artigo 77.^o do mesmo regulamento, de apresentar uma reclamação a uma autoridade de controlo. Por outro lado, nos termos do artigo 78.^o do Regulamento 2016/679, esse titular tem direito a uma ação judicial contra uma autoridade de controlo. Além disso, o artigo 79.^o, n.^o 1, deste regulamento confere a todos os titulares de dados o direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do referido regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.

41. Os titulares dos dados podem, naturalmente, apresentar eles próprios uma reclamação a uma autoridade de controlo ou intentar as ações judiciais anteriormente descritas. Não obstante, o artigo 80.^o do Regulamento n.^o 2016/679 prevê, sob certas condições, a possibilidade de esses titulares serem representados por um organismo, uma organização ou uma associação sem fins lucrativos. Além das ações individuais, o direito da União prevê assim várias possibilidades de ações coletivas através de entidades responsáveis pela representação dos titulares dos dados (10). O artigo 80.^o do Regulamento 2016/679 inscreve‑se, portanto, na tendência que consiste em desenvolver as ações coletivas intentadas por essas entidades com o objetivo de defender interesses gerais ou coletivos como meio de reforçar o acesso à justiça das pessoas afetadas pela violação das regras em causa (11).

42. O artigo 80.^o do Regulamento 2016/679, intitulado «Representação dos titulares dos dados», contém dois números. O primeiro visa a situação em que o titular dos dados confere mandato a um organismo, uma organização ou uma associação para o representar. O segundo diz respeito à ação coletiva intentada por uma entidade independentemente de qualquer mandato confiado pelo titular dos dados.

43. Uma vez que a ação intentada pela Federação não se baseia num mandato conferido pelo titular dos dados, é o artigo 80.^o, n.^o 2, do Regulamento 2016/679 que é pertinente no âmbito do presente reenvio prejudicial.

A. Acórdão Fashion ID

44. No seu Acórdão Fashion ID, o Tribunal de Justiça pronunciou‑se, a propósito da Diretiva 95/46, sobre uma questão semelhante à que foi colocada no âmbito do presente reenvio prejudicial. Assim, declarou que «os artigos 22.^o a 24.^o [desta diretiva] devem ser interpretados no sentido de que não se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o [presumível autor] de uma violação da proteção dos dados pessoais» (12).

45. Para chegar a esta conclusão, o Tribunal de Justiça partiu da constatação de que nenhuma disposição da Diretiva 95/46 impõe aos Estados‑Membros a obrigação de prever, nem os autoriza expressamente a prever, no seu direito nacional a possibilidade de uma associação representar judicialmente uma pessoa ou de intentar por sua própria iniciativa uma ação judicial contra o presumível autor de uma violação da proteção de dados pessoais (13). Segundo o Tribunal de Justiça, daí não resulta, no entanto, que esta diretiva se oponha a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o presumível autor dessa violação (14). A este respeito, o Tribunal de Justiça destacou as características que são específicas de uma diretiva, bem como a obrigação de cada um dos Estados‑Membros destinatários adotarem todas as medidas necessárias para assegurar a plena eficácia da diretiva em causa, em conformidade com o objetivo por esta prosseguido (15).

46. O Tribunal de Justiça recordou então que a Diretiva 95/46 tinha por objetivos «assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais» e «garantir um elevado nível de proteção na União [Europeia]» (16). Ora, segundo o Tribunal de Justiça, o facto de um Estado‑Membro prever na sua regulamentação nacional a possibilidade de uma associação de defesa dos interesses dos consumidores intentar uma ação judicial contra o presumível autor de uma violação da proteção dos dados pessoais contribui para a realização desses objetivos (17). Por outro lado, o Tribunal sublinhou que «os Estados‑Membros dispõem, em diversos aspetos, de margem de manobra na transposição da [Diretiva 95/46]»(18), em especial os artigos 22.^o a 24.^o, que «estão redigidos em termos gerais e não operam uma harmonização exaustiva das disposições nacionais relativas aos recursos judiciais suscetíveis de ser interpostos contra o [presumível autor] de uma violação da proteção dos dados pessoais» (19). Assim, «o facto de prever a possibilidade de uma associação de defesa dos interesses dos consumidores intentar uma ação judicial contra o [presumível autor] de uma violação da proteção de dados pessoais parece poder constituir uma medida adequada, na aceção [do artigo 24.^o desta diretiva], que contribui […] para a realização dos objetivos da referida diretiva, em conformidade com a jurisprudência do Tribunal de Justiça» (20).

47. O presente reenvio prejudicial convida o Tribunal de Justiça a decidir se o que podia ser admitido sob a vigência da Diretiva 95/46 deve passar a ser proibido na sequência da entrada em vigor do Regulamento n.^o 2016/679. Por outras palavras, o artigo 80.^o, n.^o 2, deste regulamento tem por efeito jurídico suprimir a legitimidade ativa de uma associação de defesa dos interesses dos consumidores no âmbito de uma ação como a que está em causa no processo principal?

48. É desde logo permitido duvidar disso numa simples leitura do n.^o 62 do Acórdão Fashion ID, no qual o Tribunal de Justiça salientou que o facto de o Regulamento n.^o 2016/679 «autorizar expressamente, no seu artigo 80.^o, n.^o 2, os Estados‑Membros a permitirem às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção de dados pessoais, não implica de modo algum que os Estados‑Membros lhes possam conferir esse direito sob a égide da Diretiva 95/46, mas, pelo contrário, confirma que a interpretação desta diretiva acolhida pelo presente acórdão reflete a vontade do legislador da União» (21).

49. Pelas razões que irei desenvolver, considero que nem a substituição da Diretiva 95/46 por um regulamento nem a circunstância de o Regulamento 2016/679 ter passado a consagrar um artigo à representação dos titulares dos dados no âmbito de ações judiciais são suscetíveis de pôr em causa o entendimento do Tribunal de Justiça no seu Acórdão Fashion ID, a saber, que os Estados‑Membros podem prever na sua regulamentação nacional a possibilidade de as associações de defesa dos interesses dos consumidores agirem judicialmente contra o presumível autor de uma violação da proteção dos dados pessoais.

B. Características específicas do Regulamento 2016/679

50. No que respeita à substituição da Diretiva 95/46 por uma norma de natureza diferente, a saber, o Regulamento 2016/679, importa salientar que a opção do legislador da União de recorrer à forma jurídica do regulamento, que é, por força do artigo 288.^o TFUE, obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados‑Membros, se explica pela sua vontade, expressa no considerando 13 do Regulamento 2016/679, de assegurar um nível coerente de proteção das pessoas singulares em toda a União e de evitar que divergências entravem a livre circulação de dados pessoais dentro do mercado interno. Por conseguinte, à primeira vista, parece que este regulamento tende a obter uma harmonização completa, não se limitando, portanto, a estabelecer normas mínimas que os Estados‑Membros possam consagrar e não deixando a estes Estados a opção de derrogar, de completar ou de aplicar as disposições do regulamento, para que a aplicação simultânea e uniforme das disposições do referido regulamento na União não seja comprometida.

51. A realidade revela ser mais complexa. Com efeito, a base jurídica do Regulamento 2016/679, a saber, o artigo 16.^o TFUE (22), impede que se considere que, ao adotar este regulamento, a União se apropriou de todas as ramificações que a proteção dos dados pessoais é suscetível de ter noutros domínios, relativos, nomeadamente, ao direito do trabalho, ao direito da concorrência ou ao direito dos consumidores, privando os Estados‑Membros da possibilidade de adotar regras específicas nestes domínios, de forma mais ou menos autónoma, consoante se trate ou não de um domínio regulado pelo direito da União (23). Neste sentido, embora a proteção dos dados pessoais seja por natureza transversal, a harmonização efetuada pelo Regulamento 2016/679 limita‑se aos aspetos especificamente abrangidos por este regulamento neste domínio. Fora esses aspetos, os Estados‑Membros são livres de legislar, desde que não prejudiquem o conteúdo e os objetivos do referido regulamento.

52. Além disso, quando analisamos detalhadamente as disposições do Regulamento n.^o 2016/679, não podemos deixar de constatar que o alcance da harmonização efetuada por este regulamento varia consoante as disposições em causa. A determinação do alcance normativo do referido regulamento exige, portanto, um exame caso a caso (24). Embora se possa considerar, em conformidade com a jurisprudência relativa à Diretiva 95/46 (25), que o Regulamento 2016/679 procede a uma harmonização que é, «em princípio, completa», várias disposições deste regulamento reconhecem aos Estados‑Membros uma margem de manobra que deve ou pode, consoante os casos, ser utilizada por estes últimos nas condições e nos limites previstos por essas mesmas disposições (26).

53. Importa recordar que, segundo jurisprudência assente do Tribunal de Justiça, «em virtude do artigo 288.^o TFUE e devido à própria natureza dos regulamentos e à sua função no sistema das fontes do direito da União, as disposições dos regulamentos produzem, em geral, efeito imediato nas ordens jurídicas nacionais, não sendo necessário que as autoridades nacionais tomem medidas de aplicação. No entanto, pode ser necessário, para a implementação de algumas destas disposições, que os Estados‑Membros adotem medidas de aplicação» (27). O recurso a um regulamento não implica necessariamente a inexistência de uma margem de manobra deixada aos sujeitos jurídicos pelas disposições deste regulamento (28). Por outro lado, o caráter obrigatório e diretamente aplicável de um regulamento não impede que um ato desta natureza contenha regras facultativas (29).

54. O artigo 80.^o, n.^o 2, do Regulamento 2016/679 constitui, devido à utilização do termo «podem», um exemplo de disposição facultativa que confere aos Estados‑Membros uma margem de apreciação na sua aplicação.

55. Esta disposição faz parte das diversas «cláusulas de abertura» constantes deste regulamento, que lhe conferem uma certa singularidade relativamente a um regulamento clássico e o aproximam de uma diretiva (30). As remissões para o direito nacional que figuram nessas cláusulas podem ser obrigatórias (31), mas constituem, na maioria dos casos, uma faculdade deixada aos Estados‑Membros (32). Pôde observar‑se que estas diversas remissões para as leis nacionais implicam o risco de uma nova fragmentação do regime da proteção de dados pessoais na União, o que contraria a vontade expressa pelo legislador da União de alcançar uma maior uniformização deste regime e que pode ter efeitos negativos na eficácia desta proteção, bem como na compreensão das suas obrigações por parte dos responsáveis pelo tratamento e pelos subcontratantes (33). O alcance da harmonização realizada pelo Regulamento 2016/679 encontra‑se assim limitado pelas numerosas «cláusulas de abertura» que constam deste regulamento.

56. É claro que, comparativamente à Diretiva 95/46, com o Regulamento 2016/679, o legislador da União pretendeu regular de forma mais alargada e mais precisa a nível da União os aspetos relativos à representação dos titulares dos dados com vista a apresentar uma reclamação a uma autoridade de controlo ou a intentar uma ação judicial (34). Os n.^os 1 e 2 do artigo 80.^o deste regulamento não têm, contudo, o mesmo alcance normativo. Com efeito, enquanto o n.^o 1 deste artigo é obrigatório para os Estados‑Membros (35), o seu n.^o 2 oferece apenas uma faculdade a estes últimos. Com efeito, para a ação coletiva sem mandato prevista no artigo 80.^o, n.^o 2, do referido regulamento poder ser exercida, os Estados‑Membros devem fazer uso da faculdade que lhes é conferida por esta disposição de prever no seu direito nacional esta modalidade de representação dos titulares dos dados.

57. Não se pode considerar, quanto mais não seja devido ao seu caráter facultativo e às potenciais disparidades entre os direitos nacionais que isso implica, que o artigo 80.^o, n.^o 2, do Regulamento 2016/679 tenha procedido a uma harmonização completa relativamente às ações representativas sem mandato em matéria de proteção de dados pessoais. Todavia, quando aplicam esta disposição no seu direito nacional, os Estados‑Membros devem respeitar as condições e os limites em que o legislador da União pretendeu regular o exercício da possibilidade prevista na referida disposição.

58. Se, em comparação com a Diretiva 95/46, o enquadramento for mais preciso, os Estados‑Membros conservam, apesar de tudo, uma margem de apreciação na aplicação do artigo 80.^o, n.^o 2, do Regulamento 2016/679.

59. Resulta dos elementos de que o Tribunal de Justiça dispõe que, na sequência da entrada em vigor desse regulamento, o legislador alemão não adotou uma disposição destinada especificamente a aplicar, no seu direito nacional, o artigo 80.^o, n.^o 2, do referido regulamento. Todavia, tal como o órgão jurisdicional de reenvio pede ao Tribunal de Justiça, importa examinar se as regras preexistentes do direito alemão que concedem a uma associação de defesa dos interesses dos consumidores legitimidade ativa para pôr termo a um comportamento constitutivo de uma violação, simultaneamente, de disposições do Regulamento 2016/679 e de normas que têm por objeto, nomeadamente, proteger os consumidores são compatíveis com aquela disposição. Por outras palavras, o direito nacional preexistente aquando da entrada em vigor deste regulamento é conforme com o que permite o artigo 80.^o, n.^o 2, do referido regulamento?

60. Como precisou o Governo alemão na audiência, as disposições nacionais que habilitam uma associação como a Federação a intentar uma ação coletiva como a que está em causa no processo principal constituem medidas de transposição da Diretiva 2009/22. Para responder à questão de saber se o artigo 80.^o, n.^o 2, do Regulamento 2016/679 também permite uma ação dessa natureza e, por conseguinte, se estas mesmas disposições nacionais são abrangidas pela margem de apreciação reconhecida aos Estados‑Membros (36) há que interpretar este artigo tendo em conta, nomeadamente, a sua redação, bem como a economia e os objetivos deste regulamento.

C. Interpretação literal, sistemática e teleológica do artigo 80.^o, n.^o 2, do Regulamento 2016/679

61. Nos termos do artigo 80.^o, n.^o 2, do Regulamento 2016/679, as ações representativas aí previstas podem ser exercidas por qualquer «organismo, organização ou associação referidos no n.^o 1» deste artigo. O artigo 80.^o, n.^o 1, deste regulamento visa «um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais». Na minha opinião, essa definição não pode ser limitada às entidades que têm por objeto único e exclusivo a proteção dos dados pessoais, mas abrange todas as entidades que prosseguem um objetivo de interesse público relacionado com a proteção dos dados pessoais. É o caso de associações de defesa dos interesses dos consumidores como a Federação, que são levadas a intentar ações inibitórias de comportamentos que, ao violarem as disposições do referido regulamento, violam igualmente regras em matéria de proteção dos consumidores ou de combate à concorrência desleal (37).

62. Segundo a letra do artigo 80.^o, n.^o 2, do Regulamento 2016/679, a ação coletiva pode ser exercida por uma entidade que satisfaça as condições mencionadas no n.^o 1 deste artigo, caso considere «que os direitos do titular dos dados, previstos [neste regulamento] foram violados em virtude do tratamento». Contrariamente ao que o órgão jurisdicional de reenvio parece deixar entender, não creio que esta última parte da frase deva ser interpretada em sentido restritivo, no sentido de que, para estar habilitada a agir em conformidade com o previsto no artigo 80.^o, n.^o 2, do Regulamento 2016/679, uma entidade deva proceder a uma individualização prévia de uma ou várias pessoas concretamente afetadas pelo tratamento em causa. Os trabalhos preparatórios à adoção deste regulamento não vão de modo algum neste sentido. Além disso, a própria definição do conceito de «titular dos dados» na aceção do artigo 4.^o, ponto 1, do referido regulamento, ou seja, uma «pessoa singular identificada ou identificável» (38), parece‑me contraditória com a exigência de que as pessoas objeto de um tratamento contrário às disposições do Regulamento 2016/679 já devem estar identificadas no momento da propositura de uma ação coletiva ao abrigo do artigo 80.^o, n.^o 2, deste regulamento. Daqui resulta logicamente que não se pode exigir, por força desta disposição, que uma entidade invoque a existência de casos concretos a propósito de pessoas individualmente designadas para poder estar habilitada a agir em conformidade com o previsto na referida disposição.

63. Considero que a instauração de uma ação coletiva ao abrigo do artigo 80.^o, n.^o 2, do Regulamento 2016/679 pressupõe apenas que seja invocada a existência de um tratamento de dados pessoais contrário às disposições desse regulamento que protegem os direitos individuais e, portanto, suscetível de afetar os direitos de pessoas identificadas ou identificáveis, sem que a legitimidade ativa de uma entidade esteja subordinada à verificação caso a caso da violação dos direitos de uma ou mais pessoas específicas (39). Em suma, tal ação deve basear‑se na violação dos direitos conferidos pelo referido regulamento a uma pessoa singular na sequência de um tratamento dos seus dados pessoais. Esta ação não visa proteger um direito objetivo, mas apenas os direitos subjetivos conferidos diretamente aos titulares dos dados pelo Regulamento 2016/679 (40). Por outras palavras, a cláusula de abertura que figura no artigo 80.^o, n.^o 2, deste regulamento visa permitir que as entidades habilitadas obtenham a verificação por uma autoridade de controlo ou por um tribunal, do cumprimento das regras que protegem os titulares dos dados que figuram no referido regulamento por parte dos responsáveis pelo tratamento (41). Nesta perspetiva, para que uma entidade tenha legitimidade ativa ao abrigo desta disposição, é suficiente que invoque uma violação das disposições do Regulamento 2016/679 que têm por objeto proteger os direitos subjetivos dos titulares dos dados.

64. Como indica, em substância, a Comissão, uma interpretação do artigo 80.^o, n.^o 2, do Regulamento 2016/679 segundo a qual, para poder exercer uma ação coletiva sem mandato, uma entidade deve demonstrar ou alegar que uma determinada pessoa foi lesada nos seus direitos numa situação específica, limitaria demasiado o âmbito de aplicação desta disposição. À semelhança do Governo português e da Comissão, considero que o artigo 80.^o, n.^o 2, deste regulamento deve ser objeto de uma interpretação que preserva o seu efeito útil em relação ao n.^o 1 deste artigo. Por conseguinte, a meu ver, o artigo 80.^o, n.^o 2, do referido regulamento deve ser entendido no sentido de que vai além da representação de casos individuais, a qual é objeto do n.^o 1 deste artigo, abrindo uma possibilidade de representação, por iniciativa das entidades habilitadas e de forma autónoma, dos interesses coletivos de pessoas objeto de tratamento dos seus dados pessoais contrário ao Regulamento 2016/679. O efeito útil do artigo 80.^o, n.^o 2, deste regulamento seria em larga medida reduzido se se devesse considerar, à semelhança do que é exigido no n.^o 1 deste artigo, que a ação de uma entidade está limitada em ambos os casos à representação de pessoas nominal e individualmente designadas.

65. A interpretação que retiro do artigo 80.^o, n.^o 2, do Regulamento 2016/679 é, aliás, conforme com a natureza preventiva e o objetivo dissuasor das ações inibitórias, bem como com a sua independência em relação a qualquer conflito individual (42).

66. Sob pena de criar dois padrões distintos no que respeita à legitimidade ativa das entidades habilitadas a intentar uma ação inibitória, consoante essa ação se baseie numa medida nacional abrangida pelo âmbito de aplicação do artigo 80.^o, n.^o 2, do Regulamento n.^o 2016/679 ou no da Diretiva 2020/1828, parece‑me indicado, embora esta diretiva não seja aplicável no âmbito do litígio no processo principal, ter em conta o facto de esta última não exigir que essas entidades invoquem a existência de consumidores individuais identificados como tendo sido afetados pela violação em causa (43), mas sim a existência de infrações cometidas por profissionais às disposições do direito da União visadas no anexo I da referida diretiva (44), o qual, de resto, menciona o Regulamento 2016/679 no seu n.^o 56.

67. A tese favorável a uma interpretação restritiva do artigo 80.^o, n.^o 2, do Regulamento 2016/679 opõe, a meu ver de forma errada, a defesa dos interesses coletivos dos consumidores (45) e a proteção dos direitos de cada pessoa que é objeto de um tratamento supostamente contrário a este regulamento. Com efeito, a defesa dos interesses coletivos dos consumidores não exclui, em minha opinião, a proteção dos direitos subjetivos conferidos diretamente aos titulares dos dados pelo Regulamento 2016/679, mas, pelo contrário, integra essa proteção.

68. Aliás, vejo na indicação que figura no considerando 15 da Diretiva 2020/1828, segundo a qual «os mecanismos de execução […] previstos ou baseados no Regulamento […] 2016/679 poderão, se for caso disso, continuar a ser utilizados para proteção dos interesses coletivos dos consumidores» (46), a confirmação de que a ação coletiva prevista no artigo 80.^o, n.^o 2, deste regulamento é suscetível de visar a proteção desses interesses.

69. Deduzo dos elementos anteriores que o artigo 80.^o, n.^o 2, do Regulamento 2016/679 autoriza, na minha opinião, os Estados‑Membros a prever a possibilidade de as entidades habilitadas exercerem, sem mandato dos titulares dos dados, ações coletivas que visam proteger os interesses coletivos dos consumidores, desde que seja invocada a violação de disposições deste regulamento que têm por objeto conferir direitos subjetivos aos titulares dos dados.

70. Ora, é esse efetivamente o caso da ação inibitória que foi intentada pela Federação contra a Facebook Ireland.

71. Com efeito, recordo que, segundo o órgão jurisdicional de reenvio e em conformidade com os pedidos da Federação, a Facebook Ireland não respeitou a obrigação que lhe incumbe por força do artigo 12.^o, n.^o 1, primeiro período, do Regulamento 2016/679, que consiste em fornecer ao titular dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações previstas no artigo 13.^o, n.^o 1, alíneas c) e e), deste regulamento, relativas à finalidade do tratamento dos dados e ao destinatário dos dados pessoais. Estas disposições pertencem seguramente à categoria das que conferem aos titulares dos dados direitos subjetivos, o que é confirmado, nomeadamente, pela constatação de que figuram no capítulo III do referido regulamento, intitulado «Direitos do titular dos dados». Por conseguinte, a proteção desses direitos pode ser reclamada diretamente pelos titulares dos dados ou por uma entidade habilitada a título do artigo 80.^o, n.^o 1, do Regulamento n.^o 2016/679 ou de disposições nacionais que apliquem o artigo 80.^o, n.^o 2, deste regulamento.

72. Considero igualmente que o artigo 80.^o, n.^o 2, do Regulamento 2016/679 não se opõe a disposições nacionais que habilitem uma associação de defesa dos interesses dos consumidores a intentar uma ação inibitória com vista a garantir o respeito dos direitos conferidos por este regulamento, por intermédio de regras que têm por objeto proteger os consumidores ou combater as práticas comerciais desleais. Com efeito, essas regras podem conter disposições semelhantes às que constam do regulamento, em especial no que diz respeito à informação dos titulares dos dados quanto ao tratamento dos seus dados pessoais (47), o que implica que a violação de uma regra relativa à proteção dos dados pessoais pode simultaneamente implicar a violação de regras relativas à proteção dos consumidores ou às práticas comerciais desleais. Nada impede, na redação do artigo 80.^o, n.^o 2, do Regulamento 2016/679, uma aplicação parcial desta cláusula de abertura, no sentido de que a ação coletiva visa proteger, na sua qualidade de consumidores, os direitos que este regulamento confere aos titulares dos dados (48).

73. A interpretação assim proposta do artigo 80.^o, n.^o 2, do Regulamento 2016/679 é, a meu ver, a mais adequada para atingir os objetivos prosseguidos por este regulamento.

74. A este respeito, o Tribunal de Justiça salientou que, «conforme decorre do artigo 1.^o, n.^o 2, do Regulamento 2016/679, lido em conjugação com os considerandos 10, 11 e 13 deste regulamento, este último impõe às instituições, aos órgãos e organismos da União, bem como às autoridades competentes dos Estados‑Membros, a tarefa de assegurar um nível elevado de proteção dos direitos garantidos no artigo 16.^o TFUE e no artigo 8.^o da Carta [dos Direitos Fundamentais da União Europeia]» (49). Por outro lado, o referido regulamento visa «assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente o seu direito à proteção da vida privada e à proteção dos dados pessoais» (50).

75. É contrário ao objetivo de garantir um nível elevado de proteção dos dados pessoais impedir os Estados‑Membros de conceberem ações que, ao mesmo tempo que prosseguem um objetivo de proteção dos consumidores, contribuem igualmente para alcançar o objetivo de proteção dos dados pessoais. À semelhança do que era válido para a Diretiva 95/46, pode ainda afirmar‑se que, após a entrada em vigor do Regulamento 2016/679, a habilitação de associações de defesa dos interesses dos consumidores para pôr termo a tratamentos contrários às disposições deste regulamento contribui, através de um mecanismo de recurso coletivo, para reforçar os direitos dos titulares dos dados afetados (51).

76. Assim, a defesa dos interesses coletivos dos consumidores por associações é especialmente adaptada ao objetivo de estabelecer um nível elevado de proteção dos dados pessoais. Nesta perspetiva, a função preventiva das ações levadas a cabo por essas associações não poderia ser assegurada se a ação coletiva prevista no artigo 80.^o, n.^o 2, do Regulamento 2016/679 só permitisse invocar a violação dos direitos de uma pessoa individual e concretamente afetada por essa violação.

77. Uma ação inibitória intentada por uma associação de defesa dos interesses dos consumidores como a Federação contribui, portanto, incontestavelmente, para assegurar a aplicação efetiva dos direitos protegidos pelo Regulamento n.^o 2016/679 (52).

78. Por outro lado, seria pelo menos paradoxal que o reforço dos meios de controlo das regras relativas à proteção dos dados pessoais pretendido pelo legislador da União com a adoção do Regulamento 2016/679 se traduzisse, afinal, numa diminuição do nível dessa proteção relativamente ao que os Estados‑Membros podiam assegurar ao abrigo da Diretiva 95/46.

79. É verdade que, diversamente dos Estados Unidos da América, no direito da União, as regulamentações relativas, por um lado, às práticas comerciais desleais, e, por outro, à proteção dos dados pessoais, se desenvolveram separadamente. Os dois domínios são, assim, objeto de quadros normativos diferentes.

80. Não obstante, existem interações entre estes dois domínios, pelo que as ações que se inscrevem no âmbito da regulamentação relativa à proteção dos dados pessoais podem, ao mesmo tempo e de forma indireta, contribuir para fazer cessar uma prática comercial desleal. O inverso é igualmente verdadeiro (53). De resto, no próprio Regulamento 2016/679, nomeadamente no seu considerando 42, é expressa uma ligação entre a proteção de dados pessoais, sob a ótica do consentimento no tratamento de tais dados, e a proteção dos consumidores Além disso, a Comissão destacou as interações entre a regulamentação da União em matéria de proteção de dados pessoais e a Diretiva 2005/29/CE (54).

81. As interações entre o direito relativo à proteção dos dados pessoais, o direito do consumo e o direito da concorrência são frequentes e numerosas, na medida em que um mesmo comportamento pode estar abrangido simultaneamente por regras jurídicas que pertencem a estes diferentes domínios. Tais interações contribuem para tornar a proteção dos dados pessoais mais eficaz (55).

82. É certo que os beneficiários dos direitos previstos no Regulamento 2016/679 não se restringem à categoria dos consumidores, uma vez que este regulamento não assenta numa conceção meramente consumista da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais (56), mas numa conceção em que esta proteção é um direito fundamental, em conformidade com o artigo 8.^o da Carta dos Direitos Fundamentais e como indica, nomeadamente, o considerando 1 e o artigo 1.^o, n.^o 2, do referido regulamento (57).

83. A verdade é que, na era da economia digital, os titulares dos dados têm frequentemente a qualidade de consumidores. É por esta razão que as regras destinadas a proteger os consumidores são frequentemente utilizadas para lhes garantir uma proteção contra um tratamento dos seus dados pessoais contrária às disposições do Regulamento 2016/679.

84. No final desta análise, impõe‑se concluir que pode haver uma sobreposição entre a ação coletiva prevista no artigo 80.^o, n.^o 2, do Regulamento 2016/679 e a prevista na Diretiva 2020/1828, com vista a obter uma medida inibitória quando os «titulares dos dados» na aceção do referido regulamento forem também «consumidores» na aceção do artigo 3.^o, ponto 1, desta diretiva (58). Vejo aqui um sinal de complementaridade e de convergência do direito relativo à proteção dos dados pessoais com outros domínios do direito, designadamente o direito do consumidor e o direito da concorrência. Com a adoção da referida diretiva, o legislador da União levou este movimento ainda mais longe ao relacionar de forma explícita a proteção dos interesses coletivos dos consumidores com o respeito do Regulamento 2016/679. Por conseguinte, a aplicação efetiva das regras constantes deste regulamento só pode ser reforçada.

V. Conclusão

85. Tendo em conta as considerações anteriores, proponho que o Tribunal de Justiça responda à questão prejudicial colocada pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha) nos seguintes termos:

O artigo 80.^o, n.^o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a proibição das práticas comerciais desleais, a violação de uma lei em matéria de proteção dos consumidores ou a proibição da utilização de cláusulas contratuais gerais inválidas, desde que a ação coletiva em causa se destine a fazer respeitar os direitos que esse regulamente confere às pessoas objeto do tratamento impugnado.

1 Língua original: francês.

2 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

3 Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

4 V. Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, a seguir «Acórdão Fashion ID», EU:C:2019:629).

5 V., igualmente, considerando 142 deste regulamento.

6 BGBl. 2004 I, p. 1414, a seguir «UWG»

7 BGBl. 2001 I, pp. 3138, 3173, a seguir «UKlaG».

8 JO 2009, L 110, p. 30.

9 BGBl. 2007 I, p. 179, a seguir «TMG».

10 A representação dos titulares dos dados está igualmente prevista no artigo 67.^o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.^o 45/2001 e a Decisão 1247/2002/CE (JO 2018, L 295, p. 39), bem como no artigo 55.^o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89). Trata‑se, nestes dois casos, de uma representação com mandato.

11 Esta tendência, concretizada, nomeadamente, pela Diretiva 2009/22, traduziu‑se na recente adoção da Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO 2020, L 409, p. 1). O prazo de transposição desta última diretiva foi fixado em 25 de dezembro de 2022. V., a este respeito, Pato, A., «Collective Redress Mechanisms in the EU», Jurisdiction and Cross‑Border Collective Redress: A European Private International Law Perspetive, Bloomsbury Publishing, Londres, 2019, pp. 45 a 117. V., igualmente, Gsell, B., «The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward», Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen‑sur‑le‑Rhin, 2021, pp. 1365 a 1400.

12 V. Acórdão Fashion ID (n.^o 63 e dispositivo).

13 V. Acórdão Fashion ID (n.^o 47).

14 V. Acórdão Fashion ID (n.^o 48).

15 V. Acórdão Fashion ID (n.^o 49).

16 V. Acórdão Fashion ID (n.^o 50).

17 V. Acórdão Fashion ID (n.^o 51).

18 V. Acórdão Fashion ID (n.^o 56 e jurisprudência referida).

19 V. Acórdão Fashion ID (n.^o 57 e jurisprudência referida).

20 V. Acórdão Fashion ID (n.^o 59).

21 O sublinhado é meu.

22 Como o Tribunal de Justiça sublinhou no seu Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.^o 44).

23 Resulta do preâmbulo do Regulamento 2016/679 que este regulamento foi adotado com base no artigo 16.^o TFUE, cujo n.^o 2 prevê, nomeadamente, que o Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados‑Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados.

24 Determinar o alcance da harmonização operada por uma norma como o Regulamento n.^o 2016/679 implica, portanto, que se proceda a «uma microanálise, considerando uma regra específica ou, na melhor das hipóteses, um aspeto específico e bem definido do direito da União»: v. Conclusões do advogado‑geral M. Bobek no Acórdão Dzivev e o. (C‑310/16, EU:C:2018:623, n.^o 74). V., igualmente, Mišćenić, E., e Hoffmann, A.‑L., «The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)», EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, pp. 44 a 61, que salientam que «[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them» (p. 49).

25 V. Acórdão de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.^o 96).

26 V., a propósito da Diretiva 95/46, Acórdão de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.^o 97). Contrariamente a certas ideias preconcebidas, a opção do legislador da União de recorrer a um regulamento em vez de uma diretiva não se traduz necessariamente numa harmonização completa do domínio em causa. V. Mišćenić, E., e Hoffmann, A.‑L., op. cit., que indicam que «an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules» (p. 48).

27 V., nomeadamente, Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.^o 110 e jurisprudência referida). V., igualmente, num domínio que foi anteriormente objeto de uma diretiva, Acórdão de 21 de dezembro de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, n.^o 42), no qual o Tribunal de Justiça precisa que «o facto de a regulamentação da União em matéria de proteção dos animais durante o transporte ter passado a figurar num regulamento não significa necessariamente que todas as medidas nacionais de aplicação dessa regulamentação estão atualmente vedadas».

28 V. Acórdão de 27 de outubro de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Assim, o Tribunal de Justiça aceitou que um Estado‑Membro que tenha optado por não exercer uma faculdade oferecida por um regulamento não infringe o artigo 288.^o TFUE: v. Acórdão de 17 de dezembro de 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, n.^os 27 a 31). V., igualmente, para um regulamento que institui restituições à exportação que os Estados‑Membros podem conceder ou recusar conceder, Acórdão de 27 de outubro de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 V., sobre estas cláusulas de flexibilidade, Wagner, J., e Benecke, A., «National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law», European Data Protection Law Review, Lexxion, Berlin, vol. 2, Issue 3, 2016, pp. 353 a 361. 2, Issue 3, 2016, pp. 353 a 361.

31 V., nomeadamente, artigos 51.^o e 84.^o do Regulamento n.^o 2016/679.

32 V., nomeadamente, artigo 6.^o, n.^os 2 e 3, artigo 8.^o, n.^o 1, segundo parágrafo, e artigos 85.^o a 89.^o do Regulamento 2016/679.

33 V., a este respeito, Mišćenić, E., e Hoffmann, A.‑L., op. cit., que observam que «[d]espite the inicial idea of achieving a high level of harmonization by introduction uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation» (pp. 50 e 51).

34 A Diretiva 95/46 previa apenas, no seu artigo 28.^o, n.^o 4, a possibilidade de uma associação se encarregar de apresentar uma reclamação a uma autoridade de controlo em nome de uma pessoa que se queixa de uma violação dos seus direitos no âmbito de um tratamento de dados pessoais.

35 Com exceção, porém, da ação coletiva com mandato para obter reparação em nome dos titulares dos dados, que continua a ser facultativa para os Estados‑Membros.

36 V., por analogia, Acórdão de 21 de dezembro de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, n.^o 43).

37 V. Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburgo, 2019, pp. 98 a 106. Segundo esta autora, «[t]he number of actors who potentially have standing to sue is broad» e «[c]onsumer associations will usually meet those requirements easily» (p. 99).

38 O sublinhado é meu. Segundo esta mesma disposição, «é considerada uma “pessoa singular identificável” uma pessoa singular que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular». Como salienta Martial‑Braz, N., «O âmbito de aplicação do RGPD», em Bensamoun, A., e Bertrand, B., O Regulamento Geral sobre a Proteção de Dados, Aspetos institucionais e materiais, Mare e Martin, Paris, 2020, pp. 19 a 33, «o caráter identificável é entendido de forma muito ampla, uma vez que o critério de identificação da pessoa é entendido como todos os meios suscetíveis de ser razoavelmente utilizados para identificar a pessoa» (p. 24). V., nomeadamente, sobre o conceito de «pessoa identificável» na aceção do artigo 2.^o, alínea a), da Diretiva 95/46, Acórdão de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779).

39 V. Boehm, F., «Artikel 80 Vertretung von betroffenen Personen», dans Simitis, S., Hornung, G., e Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden‑Baden, 2019, em especial n.^o 13.

40 V. Frenzel, E. M., «Art. 80 Vertretung von betroffenen Personen», dans Paal, B. P., e Pauly, D. A., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, 3.^a ed., C.H. Beck, Munich, 2021, em especial n.^o 11, assim como Kreße, B., «Artikel 80 Vertretung von betroffenen Personen», dans Sydow, G., Europäische Datenschutzverordnung, 2.^a ed., Nomos, Baden‑Baden, 2018, em especial n.^o 13.

41 V. Moos, F., e Schefzig, J., «Art. 80 Vertretung von betroffenen Personen», em Taeger, J., e Gabel, D., Kommentar DSGVO – BDSG, 3.^a ed., Deutscher Fachverlag, Frankfurt, 2019, em especial, o n.^o 22.

42 V., nomeadamente, a propósito de cláusulas abusivas nos contratos celebrados entre profissionais e consumidores, Acórdão de 14 de abril de 2016, Sales Sinués e Drame Ba (C‑381/14 e C‑385/14, EU:C:2016:252, n.^o 29).

43 V. considerando 33, bem como artigo 8.^o, n.^o 3, alínea a), da Diretiva 2020/1828, nos termos do qual «[à] entidade qualificada não é exigido que prove […] um dano real sofrido pelos consumidores individuais afetados pela infração a que se refere o artigo 2.^o, n.^o 1». Por outro lado, embora o artigo 7.^o, n.^o 2, desta diretiva imponha à entidade qualificada que forneça ao tribunal ou à autoridade administrativa «informações suficientes sobre os consumidores abrangidos pela ação coletiva», decorre do considerando 34 da referida diretiva que estas informações, cujo grau de detalhe pode variar em função da medida solicitada pela entidade qualificada, não visa a designação de consumidores individuais afetados pela violação em causa, mas sim que a entidade qualificada forneça informações suficientes sobre o grupo de consumidores abrangidos pela ação coletiva (v., igualmente, considerando 65 da Diretiva 2020/1828). Saliento, aliás, que, mesmo quando a ação coletiva visa obter medidas de reparação, o considerando 49 da Diretiva 2020/1828 indica que «[p]ara intentar a ação coletiva, a entidade qualificada não deverá ser obrigada a identificar individualmente todos os consumidores abrangidos pela ação coletiva». V., sobre este assunto, Gsell, B., op. cit., em especial, p. 1370.

44 V. artigo 2.^o, n.^o 1, da Diretiva 2020/1828.

45 V. considerando 3 da Diretiva 2009/22, que precisa que as ações inibitórias estão abrangidas no seu âmbito de aplicação e visam proteger os «interesses coletivos dos consumidores», sendo estes definidos como «interesses que não constituem uma mera cumulação dos interesses dos particulares que tenham sido lesados por uma infração». No artigo 3.^o, ponto 3, da Diretiva 2020/1828, o conceito de «interesses coletivos dos consumidores» é definido como «interesses gerais dos consumidores e, em especial, para efeitos de medidas de reparação, os interesses de um grupo de consumidores».

46 O sublinhado é meu.

47 V. Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., «The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law», Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2017, pp. 1427 a 1465, que salientam que «[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual» (p. 1437).

48 V. Neun, A., e Lubitzsch, K., «Die neue EU‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz», Betriebs‑Berater, Deutscher Fachverlag, Frankfurt, 2017, pp. 2563 a 2569, em especial, p. 2567.

49 V. Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.^o 45).

50 V. Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.^o 91).

51 V. Conclusões do advogado‑geral M. Bobek no Acórdão Fashion ID (C‑40/17, EU:C:2018:1039, n.^o 33).

52 Para exemplos de ações intentadas por associações de defesa dos interesses dos consumidores, v. Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., op. cit., em especial pp. 1452 e 1453.

53 V., sobre a complementaridade entre as ações relativas à proteção dos dados pessoais e as ações inibitórias de práticas comerciais desleais, van Eijk, N., Hoofnagle, C. J., e Kannekens, E., «Unfair Commercial Practices: A Complementary Approach to Privacy Protection», European Data Protection Law Review, Lexxion, Berlin, vol. 3, Issue 3, 2017, pp. 325 a 337, que salientam que «[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective» (p. 336).

54 Diretiva do Parlamento Europeu e do Conselho, de 11 de maio de 2005, relativa às práticas comerciais desleais das empresas face aos consumidores no mercado interno e que altera a Diretiva 84/450/CEE do Conselho, as Diretivas 97/7/CE, 98/27/CE e 2002/65/CE e o Regulamento (CE) n.^o 2006/2004 do Parlamento Europeu e do Conselho («Diretiva relativa às práticas comerciais desleais») (JO 2005, L 149, p. 22). V. documento de trabalho dos serviços da Comissão – Orientações sobre a aplicação da Diretiva 2005/29/CE relativa às práticas comerciais desleais que acompanha o documento Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões. Abordagem global para estimular o comércio eletrónico transnacional no interesse dos cidadãos e empresas da Europa [SWD(2016) 163 final], em especial ponto 1.4.10, pp. 26 a 31. A Comissão sublinha a necessidade de um tratamento leal dos dados, que implica que o titular dos dados deve obter informações relevantes, nomeadamente sobre as finalidades do tratamento dos dados pessoais em causa (p. 28). A Comissão indica igualmente que «[a] violação da Diretiva [95/46] ou da Diretiva [2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37)], por parte de um profissional não implicará sempre, em si, que a prática é igualmente contrária à [Diretiva 2005/29]». Todavia, segundo a Comissão, «tais violações da proteção dos dados devem ser tomadas em consideração na avaliação do caráter desleal global das práticas comerciais ao abrigo da [Diretiva 2005/29], nomeadamente numa situação em que o profissional proceda ao tratamento de dados dos consumidores em violação dos requisitos de proteção dos dados, ou seja, para efeitos de marketing direto ou quaisquer outros fins comerciais, tais como definição de perfis, fixação personalizada de preços ou aplicações de mega dados» (p. 30).

55 V., nomeadamente, a este respeito, Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., op. cit., que realçam que «data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets» (p. 1429). V., igualmente, van Eijk, N., Hoofnagle, C. J., e Kannekens, E., op. cit., em especial, p. 336. Para uma descrição da complementaridade entre as regras relativas à proteção dos dados pessoais no setor das comunicações eletrónicas e as regras que proíbem as práticas comerciais desleais das empresas face aos consumidores, v. minhas Conclusões no Acórdão StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 V. Martial‑Braz, N., op. cit., em especial p. 23

57 V. Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.^o 44).

58 V. considerando 14 da Diretiva 2020/1828, nos termos do qual esta «só deverá proteger os interesses das pessoas singulares que tenham sido ou possam vir a ser prejudicadas [pelas infrações às disposições do direito da União referidas no anexo I] se essas pessoas forem consideradas consumidores ao abrigo [desta] diretiva».