ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

28 de abril de 2022 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 80.o — Representação dos titulares dos dados por uma associação sem fins lucrativos — Ação coletiva intentada por uma associação de defesa dos interesses dos consumidores sem mandato e independentemente da violação de direitos concretos do titular dos dados — Ação baseada na proibição de práticas comerciais desleais, na violação de uma lei em matéria de proteção dos consumidores ou na proibição da utilização de cláusulas contratuais gerais inválidas»

No processo C‑319/20,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha), por Decisão de 28 de maio de 2020, que deu entrada no Tribunal de Justiça em 15 de julho de 2020, no processo

Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited,

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände ‑ Verbraucherzentrale Bundesverband e.V.,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: A. Prechal, presidente da Segunda Secção, exercendo funções de presidente da Terceira Secção, J. Passer, F. Biltgen, L. S. Rossi (relatora) e N. Wahl, juízes,

advogado‑geral: J. Richard de la Tour,

secretário: M. Krausenböck, administradora,

vistos os autos e após a audiência de 23 de setembro de 2021,

considerando as observações apresentadas:

–        em representação da Meta Platforms Ireland Limited, por H.‑G. Kamann, M. Braun, H. Frey, Rechtsanwälte, e V. Wettner, Rechtsanwältin,

–        em representação da Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V., por P. Wassermann, Rechtsanwalt,

–        em representação do Governo alemão, por D. Klebs e J. Möller, na qualidade de agentes,

–        em representação do Governo austríaco, por A. Posch, G. Kunnert e J. Schmoll, na qualidade de agentes,

–        em representação do Governo português, por L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa e L. Medeiros, na qualidade de agentes,

–        em representação da Comissão Europeia, inicialmente, por F. Erlbacher, H. Kranenborg e D. Nardi, em seguida, por F. Erlbacher e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 2 de dezembro de 2021,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 80.^o, n.^os 1 e 2, e do artigo 84.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

2        Este pedido foi apresentado no âmbito de um litígio que opõe a Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited, com sede social na Irlanda, ao Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband e.V. (Federação das Associações de Consumidores dos Estados Federados, Alemanha) (a seguir «Federação») a respeito da violação, pela Meta Platforms Ireland, da legislação alemã relativa à proteção de dados pessoais, que constitui, simultaneamente, uma prática comercial desleal, uma violação de uma lei em matéria de proteção dos consumidores e uma violação da proibição da utilização de cláusulas contratuais gerais inválidas.

 Quadro jurídico

 Direito da União

 RGPD

3        Os considerandos 9, 10, 13 e 142 do RGPD enunciam:

«(9)      Os objetivos e os princípios da Diretiva 95/46/CE [do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31)] continuam a ser válidos, mas não evitaram a fragmentação da aplicação da proteção dos dados ao nível da União, nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistem riscos significativos para a proteção das pessoas singulares, nomeadamente no que diz respeito às atividades por via eletrónica. As diferenças no nível de proteção dos direitos e das pessoas singulares, nomeadamente do direito à proteção dos dados pessoais no contexto do tratamento desses dados nos Estados‑Membros, podem impedir a livre circulação de dados pessoais na União. Essas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da União, distorcer a concorrência e impedir as autoridades de cumprirem as obrigações que lhes incumbem por força do direito da União. Essas diferenças entre os níveis de proteção devem‑se à existência de disparidades na execução e aplicação da Diretiva [95/46].

(10)      A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. […]

[…]

(13)      A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados‑Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados‑Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados‑Membros. […]

[…]

(142)      Se o titular dos dados considerar que os direitos que lhe são conferidos pelo presente regulamento foram violados, deverá ter o direito de mandatar um organismo, organização ou associação sem fins lucrativos que seja constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam de interesse público e que exerça a sua atividade no domínio da proteção dos dados pessoais, para apresentar uma reclamação em seu nome junto de uma autoridade de controlo, ou exercer o direito de recurso judicial em nome dos titulares dos dados ou, se tal estiver previsto no direito de um Estado‑Membro, exercer o direito à indemnização em nome dos titulares dos dados. Os Estados‑Membros podem prever que esse organismo, organização ou associação tenha o direito de apresentar no Estado‑Membro em causa uma reclamação, independentemente do mandato do titular dos dados, e o direito a um recurso judicial efetivo, se tiver razões para considerar que ocorreu uma violação dos direitos do titular dos dados por o tratamento dos dados pessoais violar o presente regulamento. Esse organismo, organização ou associação pode não ser autorizado a pedir uma indemnização em nome do titular dos dados independentemente do mandato que lhe é conferido por este.»

4        O artigo 1.^o deste regulamento, com a epígrafe «Objeto e objetivos», dispõe, no seu n.^o 1:

«O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.»

5        Nos termos do artigo 4.^o, n.^o 1, do RGPD:

«Para efeitos do presente regulamento, entende‑se por:

1)      “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.»

6        O capítulo III do RGPD, que inclui os artigos 12.^o a 23.^o, intitula‑se «Direitos do titular dos dados».

7        O artigo 12.^o deste regulamento, sob a epígrafe «Transparência das informações, das comunicações e das regras para o exercício dos direitos dos titulares dos dados», enuncia, no seu n.^o 1:

«O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.^o e 14.^o e qualquer comunicação prevista nos artigos 15.^o a 22.^o e 34.^o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.»

8        O artigo 13.^o do RGPD, intitulado «Informações a facultar quando os dados pessoais são recolhidos junto do titular», prevê, no seu n.^o 1, alíneas c) e e):

«Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:

[…]

c)      As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;

[…]

e)      Os destinatários ou categorias de destinatários dos dados pessoais, se os houver […]»

9        O capítulo VIII do referido regulamento, que inclui os artigos 77.^o a 84.^o, intitula‑se «Vias de recurso, responsabilidade e sanções».

10      O artigo 77.^o do RGPD, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», dispõe, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.»

11      O artigo 78.^o do RGPD, sob a epígrafe «Direito à ação judicial contra uma autoridade de controlo», enuncia, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.»

12      O artigo 79.^o do RGPD, sob a epígrafe «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», prevê, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.^o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

13      O artigo 80.^o do RGPD, sob a epígrafe «Representação dos titulares dos dados», tem a seguinte redação:

«1.      O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação, exercer os direitos previstos nos artigos 77.^o, 78.^o e 79.^o, e exercer o direito de receber uma indemnização referido no artigo 82.^o, se tal estiver previsto no direito do Estado‑Membro.

2.      Os Estados‑Membros podem prever que o organismo, a organização ou a associação referidos no n.^o 1 do presente artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado‑Membro direito a apresentar uma reclamação à autoridade de controlo competente nos termos do artigo 77.^o e a exercer os direitos a que se referem os artigos 78.^o e 79.^o, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento.»

14      O artigo 82.^o deste regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», dispõe, no seu n.^o 1:

«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»

15      O artigo 84.^o do RGPD, sob a epígrafe «Sanções», enuncia, no seu n.^o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo [83].°, e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

 Diretiva 2005/29/CE

16      O objetivo da Diretiva 2005/29/CE do Parlamento Europeu e do Conselho, de 11 de maio de 2005, relativa às práticas comerciais desleais das empresas face aos consumidores no mercado interno e que altera a Diretiva 84/450/CEE do Conselho, as Diretivas 97/7/CE, 98/27/CE e 2002/65/CE e o Regulamento (CE) n.^o 2006/2004 («Diretiva relativa às práticas comerciais desleais») (JO 2005, L 149, p. 22), é, segundo o seu artigo 1.^o, contribuir para o funcionamento correto do mercado interno e alcançar um elevado nível de defesa dos consumidores através da aproximação das disposições legislativas, regulamentares e administrativas dos Estados‑Membros relativas às práticas comerciais desleais que lesam os interesses económicos dos consumidores.

17      Nos termos do artigo 5.^o da Diretiva 2005/29, sob a epígrafe «Proibição de práticas comerciais desleais»:

«1.      São proibidas as práticas comerciais desleais.

2.      Uma prática comercial é desleal se:

a)      For contrária às exigências relativas à diligência profissional;

e

b)      Distorcer ou for suscetível de distorcer de maneira substancial o comportamento económico, em relação a um produto, do consumidor médio a que se destina ou que afeta, ou do membro médio de um grupo quando a prática comercial for destinada a um determinado grupo de consumidores.

[…]

5.      O anexo I inclui a lista das práticas comerciais que são consideradas desleais em quaisquer circunstâncias. […]»

18      O artigo 11.^o, n.^o 1, desta diretiva, sob a epígrafe «Aplicação», prevê:

«1.      Os Estados‑Membros devem assegurar a existência de meios adequados e eficazes para lutar contra as práticas comerciais desleais, a fim de garantir o cumprimento das disposições da presente diretiva no interesse dos consumidores.

Estes meios devem incluir disposições legais nos termos das quais as pessoas ou organizações que, de acordo com a legislação nacional, tenham um interesse legítimo em combater as práticas comerciais desleais, incluindo os concorrentes, possam:

a)      Intentar uma ação judicial contra tais práticas comerciais desleais;

e/ou

b)      Submetê‑las a uma autoridade administrativa competente para decidir as queixas ou para mover os procedimentos legais adequados.

Compete a cada Estado‑Membro decidir qual destas vias estará disponível e se o tribunal ou autoridade administrativa terão poderes para exigir o recurso prévio a outras vias estabelecidas para a resolução de litígios, incluindo as referidas no artigo 10.^o Estas vias devem estar disponíveis quer os consumidores afetados se encontrem no território do Estado‑Membro em que o profissional está estabelecido, quer se encontrem noutro Estado‑Membro.

[…]»

19      O anexo I da Diretiva 2005/29, que contém a lista das práticas comerciais desleais em quaisquer circunstâncias, dispõe no seu ponto 26:

«Fazer solicitações persistentes e não solicitadas, por telefone, fax, e‑mail ou qualquer outro meio de comunicação à distância exceto em circunstâncias e na medida em que haja que fazer cumprir uma obrigação contratual, nos termos do direito nacional. Esta disposição não prejudica […] as Diretivas 95/46/CE […]»

 Diretiva 2009/22/CE

20      Nos termos do artigo 1.^o da Diretiva 2009/22/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2009, relativa às ações inibitórias em matéria de proteção dos interesses dos consumidores (JO 2009, L 110, p. 30), sob a epígrafe «Âmbito de aplicação»:

«1.      A presente diretiva tem por objeto aproximar as disposições legislativas, regulamentares e administrativas dos Estados‑Membros relativas às ações inibitórias referidas no artigo 2.^o, para a proteção dos interesses coletivos dos consumidores incluídos nas diretivas enumeradas no anexo I, para garantir o bom funcionamento do mercado interno.

2.      Para efeitos da presente diretiva, entende‑se por infração todo e qualquer ato contrário ao disposto nas diretivas enumeradas no anexo I, transpostas para a ordem jurídica interna dos Estados‑Membros e que prejudique os interesses coletivos referidos no n.^o 1.»

21      O artigo 7.^o da Diretiva 2009/22, sob a epígrafe «Normas mais favoráveis», tem a seguinte redação:

«A presente diretiva não prejudica a adoção ou a manutenção pelos Estados‑Membros de disposições que garantam, às entidades com legitimidade para intentar uma ação e a quaisquer interessados, uma faculdade de ação mais ampla no plano nacional.»

22      O anexo I da Diretiva 2009/22 inclui a lista das diretivas da União referidas no artigo 1.^o desta. O ponto 11 deste anexo menciona a Diretiva 2005/29.

 Diretiva (UE) 2020/1828

23      Os considerandos 11, 13 e 15 da Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO 2020, L 409, p. 1), enunciam:

«(11)      A presente diretiva não deverá substituir os meios processuais nacionais existentes para proteção dos interesses coletivos ou individuais dos consumidores. Tendo em conta as suas tradições jurídicas, deverá ser deixado ao critério dos Estados‑Membros conceberem o meio processual de ação coletiva exigido pela presente diretiva como parte de um meio processual de medidas inibitórias ou de reparação coletivo existente ou novo, ou como um meio processual distinto, posto que pelo menos um meio processual nacional na forma de ação coletiva esteja em conformidade com a presente diretiva. […] Se existirem meios nacionais além do meio exigido pela presente diretiva, a entidade qualificada deverá poder escolher qual o meio processual a utilizar.

[…]

(13)      O âmbito de aplicação da presente diretiva deverá refletir a evolução recente no domínio da defesa do consumidor. Uma vez que os consumidores se movem atualmente num mercado mais vasto e cada vez mais digitalizado, alcançar um elevado nível de defesa dos consumidores exige que, além do direito geral dos consumidores, a diretiva abranja domínios como a proteção de dados, os serviços financeiros, as viagens e o turismo, a energia e as telecomunicações. […]

[…]

(15)      A presente diretiva deverá aplicar‑se sem prejuízo dos atos jurídicos enumerados no anexo I, pelo que não deverá alterar ou alargar as definições estabelecidas nesses atos jurídicos nem substituir quaisquer mecanismos de execução que esses atos jurídicos possam conter. Por exemplo, os mecanismos de execução previstos ou baseados no [RGPD] poderão, se for caso disso, continuar a ser utilizados para proteção dos interesses coletivos dos consumidores.»

24      O artigo 2.^o desta diretiva, sob a epígrafe «Âmbito de aplicação», prevê, no seu n.^o 1:

«A presente diretiva é aplicável às ações coletivas intentadas com fundamento em infrações cometidas por profissionais às disposições do direito da União referidas no anexo I, incluindo as normas de transposição para o direito nacional, que lesem ou sejam suscetíveis de lesar os interesses coletivos dos consumidores. A presente diretiva aplica‑se sem prejuízo das disposições do direito da União referidas no anexo I. […]»

25      O artigo 24.^o, n.^o 1, da referida diretiva, sob a epígrafe «Transposição», dispõe:

«1.      Os Estados‑Membros adotam e publicam, até 25 de dezembro de 2022, as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva. Do facto informam imediatamente a Comissão.

Os Estados‑Membros aplicam essas disposições a partir de 25 de junho de 2023.

[…]»

26      O anexo I da Diretiva 2020/1828, que inclui a lista das disposições do direito da União referidas no artigo 2.^o, n.^o 1, desta, cita, no seu ponto 56, o RGPD.

 Direito alemão

 Lei Relativa às Ações Inibitórias

27      Nos termos do § 2 da Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Lei Relativa às Ações Inibitórias em Matéria de Infração aos Direitos dos Consumidores e de Outras Infrações), de 26 de novembro de 2001 (BGB1. 2001 I, p. 3138), na versão aplicável ao litígio no processo principal (a seguir «Lei Relativa às Ações Inibitórias»):

«(1)      Quem infringir normas de proteção dos consumidores (Leis Relativas à Proteção dos Consumidores), sem ser através da utilização ou recomendação de cláusulas contratuais gerais, pode ser demandado, no interesse da proteção dos consumidores, em ação inibitória e em ação destinada à eliminação dos efeitos produzidos. […]

(2)      São consideradas normas de proteção dos consumidores, na aceção da presente disposição, em especial:

[…]

11.      As normas que definem a admissibilidade:

a)      Da recolha de dados pessoais dos consumidores pelas empresas ou

b)      O tratamento ou a utilização de dados pessoais dos consumidores que foram recolhidos pelas empresas,

quando os dados são recolhidos, tratados ou utilizados para fins publicitários, para sondagens de mercado e de opinião, para a atividade de uma agência de informação, para a criação de perfis de personalidade e de utilizador, para qualquer outro comércio de dados ou para outros fins comerciais semelhantes.»

28      O Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha) indica que, por força do § 3, n.^o 1, primeiro período, ponto 1, da Lei Relativa às Ações Inibitórias, os organismos que têm legitimidade ativa, na aceção do § 4 desta lei, podem, por um lado, em conformidade com o § 1 da referida lei, exigir a cessação da utilização de cláusulas contratuais gerais inválidas por força do § 307 do Bürgerliches Gesetzbuch (Código Civil alemão) e, por outro, requerer a cessação das violações da legislação em matéria de proteção dos consumidores, na aceção do § 2, n.^o 2, da mesma lei.

 Lei contra a Concorrência Desleal

29      O § 3, n.^o 1, da Gesetz gegen den unlauteren Wettbewerb (Lei contra a Concorrência Desleal), de 3 de julho de 2004 (BGBl. 2004 I, p. 1414), na versão aplicável ao litígio no processo principal (a seguir «Lei contra a Concorrência Desleal»), prevê:

«As práticas comerciais desleais são ilícitas.»

30      O § 3a da Lei contra a Concorrência Desleal tem a seguinte redação:

«Pratica um ato desleal quem infringe uma disposição legal destinada, nomeadamente, a regular o comportamento dos operadores no mercado, quando a infração é suscetível de prejudicar significativamente os interesses de consumidores, de outros operadores no mercado ou dos concorrentes.»

31      O § 8 da Lei contra a Concorrência Desleal enuncia:

«1)      Quem praticar um ato comercial ilícito nos termos do § 3 ou do § 7 pode ser demandado em ação destinada à eliminação dos efeitos produzidos ou, em caso de risco de repetição, em ação inibitória [abstenção]. […]

[…]      

3)      São titulares dos direitos conferidos pelo n.^o 1:

[…]

3.      As entidades qualificadas que demonstrem estar inscritas na lista das entidades qualificadas a que se refere o § 4 da [Lei Relativa às Ações Inibitórias] […]»

 Lei Relativa às Telecomunicações

32      O Bundesgerichtshof (Supremo Tribunal de Justiça Federal) indica que o §13, n.^o 1, da Telemediengesetz (Lei Relativa às Telecomunicações), de 26 de fevereiro de 2007 (BGBl. 2007 I, p. 179), era aplicável até à entrada em vigor do RGPD. Nessa data, esta disposição foi substituída pelos §§ 12 a 14 do RGPD.

33      Nos termos do § 13, n.^o 1, primeiro período, da Lei Relativa às Telecomunicações:

«O prestador de serviços deve informar o utilizador, de forma globalmente compreensível, no início do ato de utilização, sobre o modo, a extensão e a finalidade da recolha e da utilização dos dados pessoais e sobre o tratamento dos seus dados em Estados não abrangidos pelo âmbito de aplicação da Diretiva 95/46 […], se essa informação ainda não tiver sido prestada.»

 Litígio no processo principal e questão prejudicial

34      A Meta Platforms Ireland, que gere a oferta dos serviços da rede social em linha Facebook na União, é responsável pelo tratamento de dados pessoais dos utilizadores desta rede social na União. A Facebook Germany GmbH, com sede na Alemanha, promove, no endereço www.facebook.de, a venda de espaços publicitários. A plataforma Internet Facebook contém, nomeadamente no endereço Internet www.facebook.de, um espaço denominado «App‑Zentrum» («Centro de Aplicações») no qual a Meta Platforms Ireland põe à disposição dos utilizadores jogos gratuitos fornecidos por terceiros. Quando o utilizador consulta o Centro de Aplicações de alguns desses jogos, vê a indicação de que a utilização da aplicação em causa permite à sociedade de jogos obter um determinado número de dados pessoais e o autoriza a proceder a publicações em nome desse utilizador, tais como a sua pontuação e outras informações. Esta utilização implica a aceitação, por parte do utilizador, das cláusulas contratuais gerais da aplicação e da sua política em matéria de proteção de dados. Além disso, no caso de um determinado jogo, é indicado que a aplicação está autorizada a publicar o estado, fotografias e outras informações em nome desse mesmo utilizador.

35      A Federação, organismo com legitimidade ativa ao abrigo do § 4 da Lei Relativa às Ações Inibitórias, considera que as indicações fornecidas pelos jogos em causa no Centro de Aplicações são desleais, nomeadamente devido ao desrespeito das condições legais aplicáveis à obtenção de um consentimento válido do utilizador nos termos das disposições que regulam a proteção de dados. Além disso, considera que a indicação segundo a qual a aplicação está autorizada a publicar determinadas informações pessoais do utilizador em nome deste constitui uma cláusula contratual geral que desfavorece indevidamente o utilizador.

36      Neste contexto, a Federação intentou no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha) uma ação inibitória contra a Meta Platforms Ireland baseada no § 3a da Lei contra a Concorrência Desleal, no § 2, n.^o 2, primeiro período, ponto 11, da Lei Relativa às Ações Inibitórias e no Código Civil. Esta ação foi intentada independentemente da violação concreta do direito à proteção dos dados de um titular dos dados e sem mandato desse titular.

37      O Landgericht Berlin (Tribunal Regional de Berlim) condenou a Meta Platforms Ireland em conformidade com os pedidos da Federação. Foi negado provimento ao recurso interposto pela Meta Platforms Ireland no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha). A Meta Platforms Ireland interpôs então no órgão jurisdicional de reenvio um recurso de «Revision» da decisão adotada pelo órgão jurisdicional de recurso em segunda instância.

38      O órgão jurisdicional de reenvio considera que a ação da Federação é procedente, na medida em que a Meta Platforms Ireland violou o § 3a da Lei contra a Concorrência Desleal, bem como o §2, n.^o 2, primeiro período, ponto 11, da Lei Relativa às Ações Inibitórias e utilizou uma cláusula contratual geral inválida, na aceção do § 1 da Lei Relativa às Ações Inibitórias.

39      Todavia, este órgão jurisdicional tem dúvidas quanto à admissibilidade da ação da Federação. Com efeito, considera que não está excluído que a Federação, que tinha legitimidade ativa à data da interposição do recurso — com fundamento no § 8, n.^o 3, da Lei contra a Concorrência Desleal e no § 3, n.^o 1, primeiro período, ponto 1, da Lei Relativa às Ações Inibitórias — tivesse perdido essa legitimidade no decurso da instância, na sequência da entrada em vigor do RGPD, e, nomeadamente, do artigo 80.^o, n.^os 1 e 2, e do artigo 84.^o, n.^o 1 deste. Se for esse o caso, o órgão jurisdicional de reenvio deverá conceder provimento ao recurso de «Revision» interposto pela Meta Platforms Ireland e julgar improcedente a ação da Federação, dado que, segundo as disposições processuais pertinentes do direito alemão, a legitimidade ativa deve manter‑se até ao fim da última instância.

40      Segundo o órgão jurisdicional de reenvio, a resposta a este respeito não resulta claramente da apreciação da redação, da economia e do objetivo das disposições do RGPD.

41      No que respeita à redação das disposições do RGPD, o órgão jurisdicional de reenvio salienta que a existência de legitimidade ativa dos organismos, das organizações ou das associações sem fins lucrativos que tenham sido validamente constituídas em conformidade com o direito de um Estado‑Membro, ao abrigo do artigo 80.^o, n.^o 1, do RGPD, pressupõe que o titular dos dados tenha mandatado um organismo, uma organização ou uma associação para exercer, em seu nome, os direitos previstos nos artigos 77.^o a 79.^o do RGPD e o direito de receber uma indemnização referido no artigo 82.º do RGPD, se tal estiver previsto no direito do Estado‑Membro.

42      Ora, o órgão jurisdicional de reenvio sublinha que a legitimidade ativa ao abrigo do §8, n.^o 3, ponto 3, da Lei contra a Concorrência Desleal não prevê tal recurso mediante mandato e em nome de um titular dos dados para exercer os seus direitos pessoais. Pelo contrário, confere a uma associação, ao abrigo de um direito que lhe é próprio e que decorre do § 3, n.^o 1, bem como do § 3a da Lei contra a Concorrência Desleal, legitimidade ativa a título objetivo contra violações das disposições do RGPD, independentemente da violação de direitos concretos dos titulares dos dados e de um mandato conferido por estes.

43      Além disso, o órgão jurisdicional de reenvio observa que o artigo 80.^o, n.^o 2, do RGPD não prevê a legitimidade ativa de uma associação para aplicar, a título objetivo, o direito à proteção dos dados pessoais, na medida em que esta disposição pressupõe que os direitos do titular dos dados previstos no RGPD tenham sido efetivamente violados devido a um tratamento de dados específico.

44      Por outro lado, a legitimidade ativa de uma associação como a prevista no § 8, n.^o 3, da Lei contra a Concorrência Desleal não pode resultar do artigo 84.^o, n.^o 1, do RGPD, nos termos do qual os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto nesse regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. Com efeito, não se pode considerar que a legitimidade ativa de uma associação, como a prevista no § 8, n.^o 3, da Lei contra a Concorrência Desleal, constitui uma «sanção», na aceção desta disposição do RGPD.

45      No que diz respeito à economia das disposições do RGPD, o órgão jurisdicional de reenvio considera que se pode inferir do facto de este ter harmonizado, nomeadamente, os poderes das autoridades de controlo, que incumbe principalmente a essas autoridades verificar a aplicação das disposições deste regulamento. Todavia, a expressão «[s]em prejuízo de qualquer outra via de recurso», que consta do artigo 77.^o, n.^o 1, do artigo 78.^o, n.^os 1 e 2, e do artigo 79.^o, n.^o 1, do RGPD, pode infirmar a tese de uma regulamentação exaustiva do controlo da aplicação do direito por este regulamento.

46      Relativamente ao objetivo das disposições do RGPD, o órgão jurisdicional de reenvio salienta que o seu efeito útil pode pugnar pela existência de legitimidade ativa por parte das associações ao abrigo do direito da concorrência, em conformidade com o § 8, n.^o 3, ponto 3, da Lei contra a Concorrência Desleal, independentemente da violação de direitos concretos dos titulares dos dados, na medida em que assim subsistiria uma possibilidade suplementar de controlar a aplicação do direito, a fim de assegurar um nível tão elevado quanto possível de proteção dos dados pessoais, em conformidade com o considerando 10 do RGPD. Porém, admitir a legitimidade ativa das associações ao abrigo do direito da concorrência pode ser considerado contrário ao objetivo de harmonização prosseguido pelo RGPD.

47      Nestas circunstâncias, o Bundesgerichtshof (Supremo Tribunal de Justiça Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«As disposições do capítulo VIII, em particular o artigo 80.^o, n.^os 1 e 2, e o artigo 84.^o, n.^o 1, do [RGPD], opõem‑se a normas nacionais que, além dos poderes de intervenção das autoridades de controlo responsáveis pela supervisão e aplicação [deste] regulamento e da tutela jurisdicional à disposição dos titulares dos dados, conferem aos concorrentes, por um lado, e às associações, [organismos] e [entidades] autorizadas pela legislação nacional, por outro, a faculdade de intentar ações perante os tribunais cíveis por infrações ao [RGPD], independentemente da violação de direitos concretos de determinados titulares dos dados e sem mandato destes, invocando contra os infratores a inobservância da proibição de práticas comerciais desleais, infrações à legislação relativa à proteção do consumidor ou a inobservância da proibição de utilizar cláusulas contratuais gerais inválidas?»

 Quanto à questão prejudicial

48      A título preliminar, importa salientar que, como resulta, nomeadamente, do n.^o 36 e dos n.^os 41 a 44 do presente acórdão, o litígio no processo principal opõe uma associação de defesa dos interesses dos consumidores, a Federação, à Meta Platforms Ireland, e tem por objeto a questão de saber se essa associação tem legitimidade ativa para intentar uma ação contra esta sociedade sem que lhe tenha sido conferido um mandato para esse efeito e independentemente da violação de direitos concretos dos titulares dos direitos.

49      Nestas condições, como salientou devidamente a Comissão nas suas observações escritas, a resposta à questão prejudicial depende apenas da interpretação do artigo 80.^o, n.^o 2, do RGPD, uma vez que as disposições do artigo 80.^o, n.^o 1, do RGPD e do artigo 84.^o do RGPD não são pertinentes para o caso em apreço. Com efeito, por um lado, a aplicação do artigo 80.^o, n.^o 1, do RGPD pressupõe que o titular dos dados tenha mandatado o organismo, a organização ou a associação sem fins lucrativos, referidos nessa disposição, para que tome em seu nome as medidas jurídicas previstas nos artigos 77.^o a 79.^o do RGPD. Ora, é ponto assente que não é esse o caso no processo principal, na medida em que a Federação atua independentemente de qualquer mandato do titular dos dados. Por outro lado, é pacífico que o artigo 84.^o do RGPD visa as sanções administrativas e penais aplicáveis por violações deste regulamento, o que também não está em causa no processo principal.

50      Além disso, importa destacar que o litígio no processo principal não suscita a questão da legitimidade ativa de um concorrente. Por conseguinte, há que responder apenas à parte da questão que tem por objeto a legitimidade ativa das associações, dos organismos e das entidades autorizadas nos termos do direito nacional, referidos no artigo 80.^o, n.^o 2, do RGPD.

51      Daqui resulta que a questão submetida pelo órgão jurisdicional de reenvio deve ser entendida no sentido de que se destina a saber, em substância, se o artigo 80.^o, n.^o 2, do RGPD deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que um mandato lhe tenha sido conferido para esse efeito e independentemente da violação de direitos concretos de um titular dos direitos, contra o presumível autor de uma violação da proteção dos dados pessoais, alegando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas.

52      Para responder a esta questão, importa recordar que, como resulta do considerando 10 do RGPD, este último visa, nomeadamente, assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais e eliminar os obstáculos à circulação de dados pessoais na União.

53      Neste contexto, o capítulo VIII deste regulamento regula, nomeadamente, as vias de recurso que permitem proteger os direitos do titular dos dados quando os dados pessoais que lhe dizem respeito foram objeto de um tratamento pretensamente contrário às disposições do referido regulamento. A proteção desses direitos pode assim ser objeto de uma reclamação quer diretamente pelo titular dos dados quer por uma entidade autorizada, com ou sem mandato para esse efeito, ao abrigo do artigo 80.^o do RGPD.

54      Assim, em primeiro lugar, o titular dos dados tem o direito de apresentar ele próprio uma reclamação a uma autoridade de controlo de um Estado‑Membro ou de intentar uma ação nos tribunais cíveis nacionais. Mais precisamente, o titular dos dados dispõe, respetivamente, do direito de apresentar reclamação a uma autoridade de controlo, em conformidade com o artigo 77.^o do RGPD, do direito à ação judicial contra uma autoridade de controlo, ao abrigo do artigo 78.^o do RGPD, do direito à ação judicial contra um responsável pelo tratamento ou um subcontratante, previsto no artigo 79.^o do RGPD, e do direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos, nos termos do artigo 82.^o do RGPD.

55      Em seguida, em conformidade com o artigo 80.^o, n.^o 1, do RGPD, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos, sob determinadas condições, para que estes apresentem uma reclamação ou exerçam, em seu nome, os direitos referidos nos artigos acima referidos.

56      Por último, em conformidade com o artigo 80.^o, n.^o 2, do RGPD, os Estados‑Membros podem prever que o organismo, a organização ou a associação, independentemente de um mandato conferido pelo titular dos dados, tenham no Estado‑Membro em questão direito a apresentar uma reclamação à autoridade de controlo, nos termos do artigo 77.^o deste regulamento, e a exercer os direitos a que se referem os artigos 78.^o e 79.^o deste, caso considerem que os direitos do titular dos dados previstos nesse regulamento foram violados em virtude do tratamento dos dados pessoais que lhe dizem respeito.

57      A este respeito, importa salientar que, como resulta do artigo 1.^o, n.^o 1, do RGPD, lido à luz, nomeadamente, dos considerandos 9, 10 e 13, este regulamento visa assegurar uma harmonização das legislações nacionais relativas à proteção dos dados pessoais que é, em princípio, completa. No entanto, as disposições do referido regulamento conferem aos Estados‑Membros a possibilidade de preverem regras nacionais adicionais, mais rigorosas ou derrogatórias, que lhes deixam uma margem de apreciação quanto ao modo como essas disposições podem ser aplicadas («cláusulas de abertura»).

58      Com efeito, a este respeito, há que recordar que, segundo jurisprudência assente do Tribunal de Justiça, em virtude do artigo 288.^o TFUE e devido à própria natureza dos regulamentos e à sua função no sistema das fontes do direito da União, as disposições dos regulamentos produzem, em geral, efeito imediato nas ordens jurídicas nacionais, não sendo necessário que as autoridades nacionais tomem medidas de aplicação. No entanto, pode ser necessário, para a implementação de algumas destas disposições, que os Estados‑Membros adotem medidas de aplicação (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.^o 110 e jurisprudência referida).

59      É o que acontece, nomeadamente, com o artigo 80.^o, n.^o 2, do RGPD, que deixa aos Estados‑Membros uma margem de apreciação relativamente à sua aplicação. Assim, para que a ação coletiva sem mandato em matéria de proteção de dados pessoais, prevista nesta disposição, possa ser exercida, os Estados‑Membros devem fazer uso da faculdade que lhes é conferida por esta de prever no seu direito nacional esta modalidade de representação dos titulares dos dados.

60      Todavia, como observou o advogado‑geral, nos n.^os 51 e 52 das suas conclusões, quando os Estados‑Membros exercem a faculdade que lhes é concedida por essa cláusula de abertura, devem utilizar a sua margem de apreciação nas condições e nos limites previstos pelas disposições do RGPD e devem, assim, legislar de modo que não prejudiquem o conteúdo e os objetivos deste regulamento.

61      No caso em apreço, como foi confirmado pelo Governo alemão na audiência de alegações realizada no presente processo, o legislador alemão não adotou, na sequência da entrada em vigor do RGPD, disposições específicas destinadas a implementar, no seu direito nacional, o artigo 80.^o, n.^o 2, deste regulamento. Com efeito, a regulamentação nacional em causa no processo principal, adotada para assegurar a transposição da Diretiva 2009/22, já permite às associações de defesa dos interesses dos consumidores agir judicialmente contra o presumível autor de uma violação da proteção dos dados pessoais. Este governo sublinha, por outro lado, que, no Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629), relativo à interpretação das disposições da Diretiva 95/46, o Tribunal de Justiça declarou que estas não se opõem a essa regulamentação nacional.

62      Nestas condições, como salientou o advogado‑geral no n.^o 60 das conclusões, importa, em substância, verificar se as regras nacionais em causa no processo principal se inserem no âmbito da margem de apreciação reconhecida a cada Estado‑Membro no artigo 80.^o, n.^o 2, do RGPD e, assim, interpretar esta disposição tendo em conta a sua redação, bem como a economia e os objetivos deste regulamento.

63      A este respeito, há que sublinhar que o artigo 80.^o, n.^o 2, do RGPD confere aos Estados‑Membros a possibilidade de preverem um meio processual de ação coletiva contra o autor presumível de uma violação da proteção dos dados pessoais, enunciando simultaneamente um determinado número de requisitos referentes ao âmbito de aplicação pessoal e material que devem ser respeitados para esse efeito.

64      Relativamente, em primeiro lugar, ao âmbito de aplicação pessoal desse meio processual, é reconhecida legitimidade ativa a um organismo, a uma organização ou a uma associação que preencha os critérios indicados no artigo 80.^o, n.^o 1, do RGPD. Em especial, esta disposição faz referência a «organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais».

65      Ora, há que constatar que uma associação de defesa dos interesses dos consumidores, como a Federação, é suscetível de ser abrangida por este conceito, porque prossegue um objetivo de interesse público que consiste em assegurar os direitos e as liberdades dos titulares dos dados na sua qualidade de consumidores, sendo que a realização desse objetivo é suscetível de estar relacionada com a proteção dos dados pessoais desses titulares.

66      Com efeito, a violação das regras que têm por objeto proteger os consumidores ou lutar contra as práticas comerciais desleais — violação que uma associação de defesa dos interesses dos consumidores, como a Federação, visa prevenir e sancionar, nomeadamente, através da ação inibitória prevista pela regulamentação nacional aplicável — pode estar relacionada, como no caso em apreço, com a violação das regras em matéria de proteção de dados pessoais desses consumidores.

67      No que respeita, em segundo lugar, ao âmbito de aplicação material do referido meio processual, o exercício da ação coletiva prevista no artigo 80.^o, n.^o 2, do RGPD por uma entidade que preenche os requisitos mencionados no n.^o 1 deste mesmo artigo pressupõe que esta entidade, independentemente de qualquer mandato que lhe tenha sido confiado, considere «que os direitos do titular dos dados, nos termos do [referido] regulamento foram violados em virtude do tratamento».

68      A este respeito, há que precisar, em primeiro lugar, que, para efeitos da propositura de uma ação coletiva, na aceção do artigo 80.^o, n.^o 2, do RGPD, não se pode exigir que essa entidade proceda à identificação individual prévia do titular dos dados especificamente afetado por um tratamento de dados pretensamente contrário às disposições do RGPD.

69      Com efeito, basta salientar que o conceito de «titular dos dados», na aceção do artigo 4.^o, n.^o 1, deste regulamento, abrange não só uma «pessoa singular identificada» mas também uma «pessoa singular identificável», a saber, uma pessoa singular «que possa ser identificada», direta ou indiretamente, por referência a um identificador, como, nomeadamente, um nome, um número de identificação, dados de localização ou um identificador em linha. Nestas condições, a designação de uma categoria ou de um grupo de pessoas afetadas por tal tratamento pode igualmente ser suficiente para efeitos da propositura dessa ação coletiva.

70      Em segundo lugar, ao abrigo do artigo 80.^o, n.^o 2, do RGPD, o exercício de uma ação coletiva também não está sujeito à existência de uma violação concreta dos direitos conferidos à pessoa pelas regras em matéria de proteção de dados.

71      Com efeito, como resulta da própria redação desta disposição, recordada no n.^o 67 do presente acórdão, a propositura de uma ação coletiva pressupõe apenas que a entidade visada «considere» que os direitos de um titular dos dados previstos nesse regulamento foram violados devido ao tratamento dos seus dados pessoais e, portanto, alega a existência de um tratamento de dados contrário às disposições desse regulamento.

72      Daqui resulta que, para reconhecer legitimidade ativa a essa entidade, ao abrigo da referida disposição, basta alegar que o tratamento de dados em causa é suscetível de afetar os direitos conferidos às pessoas singulares identificadas ou identificáveis pelo referido regulamento, sem que seja necessário provar um prejuízo real sofrido pelo titular dos dados, numa situação determinada, pela violação dos seus direitos.

73      Tal interpretação é conforme com os requisitos que decorrem do artigo 16.^o TFUE e do artigo 8.^o da Carta dos Direitos Fundamentais da União Europeia e, assim, com o objetivo prosseguido pelo RGPD que consiste em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, bem como, nomeadamente, em assegurar um elevado nível de proteção do direito de qualquer pessoa à proteção dos dados pessoais que lhe digam respeito (v., neste sentido, Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.^os 44, 45 e 91).

74      Ora, o facto de autorizar associações de defesa dos interesses dos consumidores, como a Federação, a intentar, através de um meio processual de ação coletiva, ações destinadas a fazer cessar tratamentos contrários às disposições desse regulamento, independentemente da violação dos direitos de uma pessoa individual e concretamente afetada por essa violação, contribui incontestavelmente para reforçar os direitos dos titulares dos dados e para lhes assegurar um nível elevado de proteção.

75      Mais, há que salientar que o exercício dessa ação coletiva, na medida em que permite prevenir um grande número de violações dos direitos dos titulares dos dados em virtude do tratamento dos seus dados pessoais, pode revelar‑se mais eficaz do que uma ação intentada por uma única pessoa individual e concretamente afetada por uma violação do seu direito à proteção dos seus dados pessoais contra o autor dessa violação.

76      Com efeito, como observou o advogado‑geral no n.^o 76 das conclusões, a função preventiva das ações levadas a cabo por associações de defesa dos interesses dos consumidores, como a Federação, não poderia ser assegurada se a ação coletiva prevista no artigo 80.^o, n.^o 2, do RGPD só permitisse invocar a violação dos direitos de uma pessoa individual e concretamente afetada por essa violação.

77      Em terceiro lugar, importa ainda verificar, como pede o órgão jurisdicional de reenvio, se o artigo 80.^o, n.^o 2, do RGPD obsta ao exercício de uma ação coletiva independentemente de uma violação concreta de um direito de um titular dos dados e de um mandato conferido por este último, quando a violação das regras em matéria de proteção de dados foi alegada no âmbito de uma ação destinada a controlar a aplicação de outras regras jurídicas destinadas a assegurar a proteção dos consumidores.

78      A este respeito, importa salientar desde logo que, como foi observado, em substância, no n.^o 66 do presente acórdão, a violação de uma regra relativa à proteção de dados pessoais pode simultaneamente implicar a violação de regras relativas à proteção dos consumidores ou às práticas comerciais desleais.

79      Por conseguinte, como salientou o advogado‑geral no n.^o 72 das conclusões, esta disposição não se opõe a que os Estados‑Membros exerçam a faculdade que esta lhes proporciona de habilitar as associações de defesa dos interesses dos consumidores a agir contra violações dos direitos previstos no RGPD, eventualmente através de regras que têm por objeto proteger os consumidores ou lutar contra práticas comerciais desleais, como as previstas pela Diretiva 2005/29 e pela Diretiva 2009/22.

80      Esta interpretação do artigo 80.^o, n.^o 2, do RGPD é, por outro lado, corroborada pela Diretiva 2020/1828, que vem revogar e substituir, a partir de 25 de junho de 2023, a Diretiva 2009/22. Neste contexto, importa observar que, em conformidade com o artigo 2.^o, n.^o 1, da Diretiva 2020/1828, esta é aplicável às ações coletivas intentadas com fundamento em infrações cometidas por profissionais às disposições do direito da União referidas no anexo I desta diretiva, que menciona, no seu n.^o 56, o RGPD.

81      É certo que a Diretiva 2020/1828 não é aplicável no quadro do litígio no processo principal e que o seu prazo de transposição ainda não terminou. Todavia, inclui vários elementos que confirmam que o artigo 80.^o do RGPD não obsta ao exercício de ações coletivas complementares no domínio da proteção dos consumidores.

82      Com efeito, embora, como resulta do considerando 11 desta diretiva, continue a ser possível prever um meio processual para ações coletivas complementares no domínio da proteção dos consumidores, os mecanismos de execução previstos no RGPD ou baseados no mesmo, como o previsto no artigo 80.^o deste regulamento, não podem ser substituídos ou alterados, como precisa o considerando 15 da referida diretiva, e podem, assim, ser utilizados para efeitos da proteção dos interesses coletivos dos consumidores.

83      Tendo em conta todas as considerações precedentes, há que responder à questão submetida que o artigo 80.^o, n.^o 2, do RGPD deve ser interpretado no sentido de que não se opõe a uma legislação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que lhe tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas, desde que o tratamento dos dados em causa seja suscetível de afetar os direitos conferidos por esse regulamento às pessoas singulares identificadas ou identificáveis.

 Quanto às despesas

84      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

O artigo 80.^o, n.^o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não se opõe a uma legislação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que lhe tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas, desde que o tratamento dos dados em causa seja suscetível de afetar os direitos conferidos por esse regulamento às pessoas singulares identificadas ou identificáveis.

Assinaturas

*      Língua do processo: alemão.