ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quinta Secção)

14 de março de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 58.o, n.o 2, alíneas d) e g) — Poderes da autoridade de controlo de um Estado‑Membro — Artigo 17.o, n.o 1 — Direito ao apagamento dos dados (“direito a ser esquecido”) — Apagamento dos dados pessoais que foram tratados ilicitamente — Poder da autoridade nacional de controlo para ordenar ao responsável pelo tratamento ou ao subcontratante que apague esses dados sem um pedido prévio do titular dos dados»

No processo C‑46/23,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pela Fővárosi Törvényszék (Tribunal de Budapeste‑Capital, Hungria), por Decisão de 8 de dezembro de 2022, que deu entrada no Tribunal de Justiça em 31 de janeiro de 2023, no processo

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

contra

Nemzeti Adatvédelmi és Információszabadság Hatóság,

O TRIBUNAL DE JUSTIÇA (Quinta Secção),

composto por: E. Regan, presidente de secção, Z. Csehi, M. Ilešič (relator), I. Jarukaitis e D. Gratsias, juízes,

advogado‑geral: L. Medina,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

–        em representação da Nemzeti Adatvédelmi és Információszabadság Hatóság, por G. J. Dudás, ügyvéd,

–        em representação do Governo Húngaro, por Zs. Biró‑Tóth e M. Z. Fehér, na qualidade de agentes,

–        em representação do Governo Espanhol, por A. Ballesteros Panizo, na qualidade de agente,

–        em representação do Governo Austríaco, por A. Posch, J. Schmoll e C. Gabauer, na qualidade de agentes,

–        em representação do Governo Polaco, por B. Majczyna, na qualidade de agente,

–        em representação do Governo Português, por P. Barros da Costa, M. J. Ramos e C. Vieira Guerra, na qualidade de agentes,

–        em representação da Comissão Europeia, por A. Bouchagiar, C. Kovács e H. Kranenborg, na qualidade de agentes,

vista a decisão tomada, ouvida a advogada‑geral, de julgar a causa sem apresentação de conclusões,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 58.^o, n.^o 2, alíneas c), d) e g), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação JO 2018, L 127, p. 2) (a seguir «RGPD»).

2        Este pedido foi apresentado no âmbito de um litígio que opõe a Budapest Főváros IV. Kerület Újpest önkormányzat Polgármesteri Hivatala (Administração Municipal de Újpest – Quarto Distrito de Budapeste‑Capital, Hungria) (a seguir «Administração de Újpest») à Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoridade Nacional de Proteção de Dados e da Liberdade de Informação, Hungria) (a seguir «autoridade de controlo húngara») a respeito de uma decisão em que esta última ordenou à Administração de Újpest que apagasse dados pessoais tratados ilicitamente.

 Quadro jurídico

3        Os considerandos 1, 10 e 129 do RGPD têm a seguinte redação:

«(1)      A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.^o, n.^o 1, da [C]arta dos Direitos Fundamentais da União Europeia […] e o artigo 16.^o, n.^o 1, [TFUE] estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

[…]

(10)      A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União [Europeia], o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. […]

[…]

(129)      A fim de assegurar o controlo e a aplicação coerentes do presente regulamento em toda a União, as autoridades de controlo deverão ter, em cada Estado‑Membro, as mesmas funções e poderes efetivos, incluindo poderes de investigação, poderes de correção e de sanção, e poderes consultivos e de autorização, nomeadamente em caso de reclamação apresentada por pessoas singulares, sem prejuízo dos poderes das autoridades competentes para o exercício da ação penal ao abrigo do direito do Estado‑Membro, tendo em vista levar as violações ao presente regulamento ao conhecimento das autoridades judiciais e intervir em processos judiciais. […]»

4        O capítulo I do RGPD, intitulado «Disposições gerais», inclui os artigos 1.^o a 4.^o deste regulamento.

5        Nos termos do artigo 1.^o deste regulamento, sob a epígrafe «Objeto e objetivos»:

«1.      O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2.      O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

[…]»

6        O artigo 4.^o do referido regulamento, sob a epígrafe «Definições», dispõe nos seus n.^os 2, 7 e 21:

«Para efeitos do presente regulamento, entende‑se por:

[…]

2)      “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

7)      “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]

21)      “Autoridade de controlo”, uma autoridade pública independente criada por um Estado‑Membro nos termos do artigo 51.^o;

[…]»

7        O capítulo II do RGPD, intitulado «Princípios», contém, nomeadamente, o artigo 5.^o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», que prevê:

«1.      Os dados pessoais são:

a)      Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b)      Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; […] (“limitação das finalidades”);

c)      Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

[…]

2.      O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

8        Incluído no capítulo III do RGPD, intitulado «Direitos do titular dos dados», o artigo 17.^o deste regulamento, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», prevê, no seu n.^o 1:

«O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

a)      Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

b)      O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.^o, n.^o 1, alínea a), ou do artigo 9.^o, n.^o 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;

c)      O titular opõe‑se ao tratamento nos termos do artigo 21.^o, n.^o 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe‑se ao tratamento nos termos do artigo 21.^o, n.^o 2;

d)      Os dados pessoais foram tratados ilicitamente;

[…]»

9        O capítulo VI do RGPD, intitulado «Autoridades de controlo independentes», contém os artigos 51.^o a 59.^o deste regulamento.

10      O artigo 51.^o deste regulamento, sob a epígrafe «Autoridade de controlo», prevê, nos seus n.^os 1 e 2:

«1.      Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União […]

2.      As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão [Europeia], nos termos do capítulo VII.»

11      O artigo 57.^o do referido regulamento, sob a epígrafe «Atribuições», tem a seguinte redação, no n.^o 1:

«1.      Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

a)      Controla e executa a aplicação do presente regulamento;

[…]

h)      Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;

[…]»

12      O artigo 58.^o do mesmo regulamento, sob a epígrafe «Poderes», prevê, no seu n.^o 2:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

[…]

c)      Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d)      Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

[…]

g)      Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.^o, 17.^o e 18.^o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.^o, n.^o 2, e do artigo 19.^o;

[…]

i)      Impor uma coima nos termos do artigo 83.^o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

[…]»

 Litígio no processo principal e questões prejudiciais

13      Em fevereiro de 2020, a Administração de Újpest decidiu conceder um apoio financeiro aos residentes que pertenciam a grupos vulneráveis no contexto da pandemia de COVID‑19 e que preenchessem determinados requisitos de elegibilidade.

14      Para o efeito, dirigiu‑se ao Magyar Államkincstár (Tesouro Público húngaro) e ao Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Gabinete governamental do quarto distrito de Budapeste‑Capital, Hungria) (a seguir «Gabinete do Distrito»), para obter os dados pessoais necessários à verificação dos requisitos de elegibilidade indicados. Esses dados incluíam, nomeadamente, os dados de identificação de base e os números de segurança social das pessoas singulares. O Tesouro Público húngaro e o Gabinete do Distrito comunicaram os dados solicitados.

15      Para o pagamento do apoio financeiro, a Administração de Újpest adotou a az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [Decreto Municipal n.^o 16/2020. (IV. 30.), relativo à introdução do Programa Újpest+ Megbecsülés], que foi alterado e completado pelo 30/2020. (VII. 15.) önkormányzati rendelet [Decreto Municipal n.^o 30/2020. (VII. 15.)]. Estes decretos continham os critérios de elegibilidade para o apoio assim concedido. A Administração de Újpest agregou os dados obtidos numa base de dados concebida para a execução do seu programa de apoio e estabeleceu um identificador e um código de barras específico para cada conjunto de dados.

16      Alertada por uma denúncia, a autoridade de controlo húngara abriu oficiosamente, em 2 de setembro de 2020, um inquérito relativo ao tratamento de dados pessoais em que se baseava o programa de apoio acima referido. Em decisão adotada em 22 de abril de 2021, essa autoridade declarou que a Administração de Újpest tinha violado várias disposições dos artigos 5.^o e 14.^o do RGPD, bem como o artigo 12.^o, n.^o 1, do mesmo regulamento. Salientou, nomeadamente, que a Administração de Újpest não tinha informado os titulares dos dados, no prazo de um mês, sobre as categorias de dados pessoais tratadas no âmbito desse programa, as finalidades do tratamento em causa ou as modalidades segundo as quais esses titulares poderiam exercer os seus direitos a esse respeito.

17      A autoridade de controlo húngara ordenou à Administração de Újpest, nos termos do artigo 58.^o, n.^o 2, alínea d), do RGPD, que apagasse os dados pessoais dos titulares dos dados que, segundo as informações fornecidas pelo Gabinete do Distrito e pelo Tesouro Público húngaro, teriam efetivamente tido direito a esse apoio, mas não o tinham solicitado. Considerou que tanto o Tesouro Público húngaro como o Gabinete do Distrito tinham violado as disposições relativas ao tratamento de dados pessoais das referidas pessoas. Aplicou também à Administração de Újpest e ao Tesouro Público húngaro uma coima ao abrigo da proteção de dados.

18      Num recurso de contencioso administrativo interposto no Fővárosi Törvényszék (Tribunal de Budapeste‑Capital, Hungria), que é o órgão jurisdicional de reenvio, a Administração de Újpest contesta a decisão da autoridade de controlo húngara, alegando que esta não tem poder para ordenar o apagamento de dados pessoais, nos termos do artigo 58.^o, n.^o 2, alínea d), do RGPD, se não houver um pedido apresentado pelo titular dos dados, na aceção do artigo 17.^o deste regulamento. A este respeito, baseia‑se no Acórdão Kfv.II.37.001/2021/6. da Kúria (Supremo Tribunal, Hungria), no qual este último declarou que a autoridade de controlo húngara não dispunha desse poder, confirmando assim um acórdão do órgão jurisdicional de reenvio. Segundo a recorrente no processo principal, o direito ao apagamento, previsto no artigo 17.^o do referido regulamento, está concebido exclusivamente como um direito do titular dos dados.

19      Na sequência de um recurso constitucional interposto pela autoridade de controlo húngara, o Alkotmánybíróság (Tribunal Constitucional, Hungria) anulou o referido acórdão da Kúria (Supremo Tribunal), declarando que esta autoridade tem o direito de ordenar oficiosamente o apagamento de dados pessoais tratados ilicitamente, incluindo quando não haja um pedido apresentado pelo titular dos dados. O Alkotmánybíróság (Tribunal Constitucional) baseou‑se, a este respeito, no Parecer n.^o 39/2021 do Comité Europeu para a Proteção de Dados, segundo o qual o artigo 17.^o do RGPD prevê duas hipóteses de apagamento distintas, sendo uma o apagamento a pedido do titular dos dados e consistindo a outra numa obrigação autónoma do responsável pelo tratamento, pelo que o artigo 58.^o, n.^o 2, alínea g), do RGPD deve ser considerado uma base jurídica válida para efeitos do apagamento oficioso de dados pessoais tratados ilicitamente.

20      Na sequência da decisão do Alkotmánybíróság (Tribunal Constitucional) referida no número anterior, o órgão jurisdicional de reenvio continua a ter dúvidas quanto à interpretação do artigo 17.^o e do artigo 58.^o, n.^o 2, do RGPD. O mesmo órgão considera que o direito ao apagamento dos dados pessoais está definido no artigo 17.^o, n.^o 1, do RGPD como um direito do titular dos dados e que esta disposição não inclui duas hipóteses distintas de apagamento.

21      Esse órgão jurisdicional acrescenta que o titular pode ter interesse em que os dados pessoais que lhe dizem respeito sejam tratados, incluindo quando a autoridade nacional de controlo ordena, em razão da ilicitude do tratamento, que o responsável pelo tratamento apague os referidos dados. Nesse caso, essa autoridade exerce o direito do referido titular contra a vontade deste último.

22      O órgão jurisdicional de reenvio pretende, assim, determinar se, independentemente do exercício dos direitos do titular dos dados, a autoridade de controlo de um Estado‑Membro pode exigir ao responsável pelo tratamento ou ao subcontratante que apague os dados pessoais que foram tratados ilicitamente, e, em caso afirmativo, com que fundamento jurídico, tendo em conta, nomeadamente, o facto de o artigo 58.^o, n.^o 2, alínea c), do RGPD prever expressamente um pedido de exercício de direitos apresentado por esse titular e de o artigo 58.^o, n.^o 2, alínea d), deste regulamento prever, de forma geral, a adequação das operações de tratamento com as disposições do referido regulamento, ao passo que o artigo 58.^o, n.^o 2, alínea g), do mesmo regulamento remete diretamente para o seu artigo 17.^o, cuja aplicação exige um pedido expresso do titular dos dados.

23      Na hipótese de a autoridade nacional de controlo poder, mesmo sem um pedido do titular dos dados, ordenar ao responsável pelo tratamento ou ao subcontratante que apague os dados pessoais que foram tratados ilicitamente, o órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se pode ser feita uma distinção, na data em que esse apagamento é ordenado, consoante os dados pessoais tenham sido recolhidos junto do titular dos dados, tendo em conta a obrigação do responsável pelo tratamento prevista no artigo 13.^o, n.^o 2, alínea b), do RGPD, ou junto de outra pessoa, tendo em conta a obrigação prevista no artigo 14.^o, n.^o 2, alínea c), deste regulamento.

24      Nestas circunstâncias, o Fővárosi Törvényszék (Tribunal de Budapeste‑Capital) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      Deve o artigo 58.^o, n.^o 2, em particular as alíneas c), d) e g), do [RGPD] ser interpretado no sentido de que a autoridade nacional de controlo, no exercício dos seus poderes de correção, pode ordenar ao responsável pelo tratamento ou ao subcontratante que apague dados pessoais que tenham sido tratados ilicitamente, mesmo sem um pedido expresso do titular dos dados em conformidade com o artigo 17.^o, n.^o 1, do [RGPD]?

2)      Em caso de resposta à primeira questão prejudicial no sentido de que a autoridade de controlo pode ordenar ao responsável pelo tratamento ou ao subcontratante que apague dados pessoais que tenham sido tratados ilicitamente, mesmo sem um pedido do titular dos dados, a referida resposta é independente do facto de os dados pessoais terem ou não sido obtidos junto do titular?»

 Quanto às questões prejudiciais

 Quanto à primeira questão

25      Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta se o artigo 58.^o, n.^o 2, alíneas c), d) e g), do RGPD deve ser interpretado no sentido de que a autoridade de controlo de um Estado‑Membro pode, no exercício dos poderes de correção que detém que estão previstos nestas disposições, ordenar ao responsável pelo tratamento ou ao subcontratante que apague os dados pessoais tratados ilicitamente, apesar de o titular dos dados não ter apresentado nenhum pedido de exercício dos seus direitos nesse sentido em aplicação do artigo 17.^o, n.^o 1, deste regulamento.

26      Esta questão insere‑se no contexto de um litígio relativo à legalidade de uma decisão da autoridade de controlo húngara que ordena à Administração de Újpest, nos termos do artigo 58.^o, n.^o 2, alínea d), do RGPD, que apague os dados pessoais tratados ilicitamente no âmbito do programa de apoio descrito nos n.^os 13 a 15 do presente acórdão.

27      Nos termos do artigo 17.^o, n.^o 1, do RGPD, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, nomeadamente nos termos da alínea d) desta disposição, quando os dados em causa foram «tratados ilicitamente».

28      Nos termos do artigo 58.^o, n.^o 2, alínea d), do RGPD, a autoridade de controlo pode ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado. Além disso, o artigo 58.^o, n.^o 2, alínea g), do referido regulamento prevê que a autoridade de controlo tem o poder de ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.^o, 17.^o e 18.^o deste regulamento, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.^o, n.^o 2, e do artigo 19.^o do mesmo regulamento.

29      Neste contexto, o órgão jurisdicional de reenvio interroga‑se sobre se a autoridade de controlo de um Estado‑Membro pode, no exercício dos poderes de correção que detém, como os previstos no artigo 58.^o, n.^o 2, alíneas c), d) e g), do RGPD, ordenar oficiosamente, isto é, não havendo um pedido prévio apresentado pelo titular dos dados nesse sentido, ao responsável pelo tratamento ou ao subcontratante que apague dados pessoais tratados ilicitamente.

30      Segundo jurisprudência constante, para efeitos da interpretação de uma disposição do direito da União, há que ter em conta não só os seus termos mas também o contexto em que se insere e os objetivos prosseguidos pela regulamentação de que faz parte (Acórdão de 13 de julho de 2023, G GmbH, C‑134/22, EU:C:2023:567, n.^o 25 e jurisprudência referida).

31      A título preliminar, importa salientar que as disposições relevantes do direito da União, mencionadas nos n.^os 27 e 28 do presente acórdão, devem ser conjugadas com o artigo 5.^o, n.^o 1, do RGPD, que enuncia os princípios relativos ao tratamento de dados pessoais, entre os quais figura, nomeadamente na alínea a), o princípio que prevê que os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.

32      Nos termos do n.^o 2 deste artigo 5.^o, o responsável pelo tratamento, em conformidade com o princípio da «responsabilidade» enunciado nesta disposição, é responsável pelo cumprimento do disposto no n.^o 1 do referido artigo 5.^o e deve poder comprovar que respeita cada um dos princípios enunciados nesse n.^o 1, recaindo além disso sobre ele o ónus da prova [Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa de correio eletrónico judiciária), C‑60/22, EU:C:2023:373, n.^o 53 e jurisprudência referida].

33      Quando o tratamento de dados pessoais não cumpra os princípios previstos nomeadamente no artigo 5.^o do RGPD, as autoridades de controlo dos Estados‑Membros podem intervir no âmbito das suas atribuições e poderes, previstos nos artigos 57.^o e 58.^o deste regulamento. Entre essas atribuições figura, nomeadamente, a de controlar e executar a aplicação do referido regulamento, por força do seu artigo 57.^o, n.^o 1, alínea a) (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.^o 108).

34      A este respeito, o Tribunal de Justiça já esclareceu que, quando uma autoridade de controlo considere, no termo da sua investigação, que o titular dos dados não beneficia de um nível de proteção adequado, essa autoridade de controlo está obrigada, em aplicação do direito da União, a reagir de forma apropriada, a fim de sanar a insuficiência verificada, independentemente da origem ou da natureza dessa insuficiência. A este respeito, o artigo 58.^o, n.^o 2, do RGPD enumera os diferentes poderes de correção que a autoridade de controlo pode exercer. Cabe a esta autoridade de controlo escolher o meio adequado para cumprir com toda a diligência exigida a sua função de zelar pelo pleno cumprimento deste regulamento (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.^os 111 e 112).

35      No que respeita, mais especificamente, à questão de saber se esses poderes de correção podem ser exercidos oficiosamente pela autoridade de controlo em causa, importa salientar, antes de mais, que, à luz da sua redação, o artigo 58.^o, n.^o 2, do RGPD faz uma distinção entre os poderes corretivos cujo exercício pode ser ordenado oficiosamente, nomeadamente os previstos no artigo 58.^o, n.^o 2, alíneas d) e g), e os que só podem ser exercidos na sequência de um pedido apresentado pelo titular dos dados para o exercício dos seus direitos ao abrigo deste regulamento, conforme previstos no artigo 58.^o, n.^o 2, alínea c), do referido regulamento.

36      Com efeito, por um lado, resulta expressamente da redação do artigo 58.^o, n.^o 2, alínea c), do RGPD que o exercício do poder de correção referido nesta disposição, a saber, «ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento», pressupõe que, previamente, o titular dos dados tenha exercido os seus direitos apresentando um pedido nesse sentido e que esse pedido não tenha sido deferido antes da decisão da autoridade de controlo que a referida disposição prevê. Por outro lado, ao contrário desta disposição, a redação do artigo 58.^o, n.^o 2, alíneas d) e g), deste regulamento não permite considerar que a intervenção da autoridade de controlo de um Estado‑Membro, para o exercício dos poderes aí previstos, se limita apenas aos casos em que o titular dos dados tenha apresentado um pedido para esse efeito, uma vez que essa redação não contém nenhuma referência a esse pedido.

37      Em seguida, no que respeita ao contexto destas disposições, importa salientar que os termos do artigo 17.^o, n.^o 1, deste regulamento distinguem, por meio da conjunção copulativa «e», por um lado, o direito de o titular dos dados obter do responsável pelo tratamento o apagamento, sem demora injustificada, dos dados que lhe dizem respeito e, por outro, a obrigação de o responsável pelo tratamento apagar esses dados pessoais sem demora injustificada. Daqui se deve deduzir que esta disposição regula duas hipóteses independentes, a saber, por um lado, o apagamento dos dados a pedido do titular dos dados e, por outro, o apagamento decorrente da existência de uma obrigação autónoma, que impende sobre o responsável pelo tratamento, independentemente de qualquer pedido daquele titular.

38      Com efeito, como salientou o Comité Europeu para a Proteção de Dados, no Parecer n.^o 39/2021, essa distinção é necessária dado que, entre os casos previstos neste artigo 17.^o, n.^o 1, alguns abrangem situações em que o titular dos dados não foi necessariamente informado de que os dados pessoais que lhe dizem respeito são tratados, pelo que o responsável pelo tratamento é o único a poder constatar a sua existência. É o que acontece, em especial, quando esses dados foram tratados ilicitamente, situação que está prevista no referido artigo 17.^o, n.^o 1, alínea d).

39      Esta interpretação é corroborada pelo artigo 5.^o, n.^o 2, do RGPD, conjugado com o n.^o 1, alínea a), deste artigo 5.^o, por força do qual o responsável pelo tratamento se deve assegurar, nomeadamente, do caráter «lícito» do tratamento de dados que efetua [v., neste sentido, Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa de correio eletrónico judiciária), C‑60/22, EU:C:2023:373, n.^o 54].

40      Por último, esta interpretação também é corroborada pelo objetivo prosseguido pelo artigo 58.^o, n.^o 2, do RGPD, conforme resulta do seu considerando 129, a saber, assegurar a conformidade do tratamento de dados pessoais com este regulamento, bem como o restabelecimento de situações de violação deste último, para as tornar conformes com o direito da União, graças à intervenção das autoridades nacionais de controlo.

41      A este respeito, importa especificar que, embora a escolha do meio adequado e necessário caiba à autoridade de controlo e esta deva efetuar essa escolha tomando em consideração todas as circunstâncias do caso em apreço, esta autoridade não deixa de estar obrigada a cumprir com toda a diligência exigida a sua missão de zelar pelo total cumprimento do RGPD (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.^o 112). Por conseguinte, para assegurar uma aplicação efetiva do RGPD, é particularmente importante que essa autoridade disponha de poderes efetivos para agir eficazmente contra as violações deste regulamento, nomeadamente para lhes pôr termo, incluindo nos casos em que os titulares dos dados não estejam informados do tratamento dos seus dados pessoais, não tenham conhecimento do mesmo ou, em todo o caso, não tenham pedido o apagamento desses dados.

42      Nestas circunstâncias, há que considerar que os poderes de correção referidos no artigo 58.^o, n.^o 2, do RGPD, nomeadamente os que figuram nas alíneas d) e g) desta disposição, podem ser exercidos oficiosamente pela autoridade de controlo de um Estado‑Membro quando o exercício oficioso desses poderes seja exigido para lhe permitir cumprir a sua atribuição. Por conseguinte, quando essa autoridade considerar, no termo do seu inquérito, que este tratamento não cumpre os requisitos deste regulamento, está obrigada, em aplicação do direito da União, a adotar as medidas adequadas para sanar a violação constatada, independentemente da existência de um pedido prévio de exercício de direitos apresentado pelo titular dos dados nos termos do artigo 17.^o, n.^o 1, do referido regulamento.

43      Tal interpretação é, por outro lado, corroborada pelos objetivos prosseguidos pelo RGPD, conforme resultam nomeadamente do seu artigo 1.^o e dos considerandos 1 e 10, que dizem respeito à garantia de um elevado nível de proteção no que se refere ao direito fundamental das pessoas singulares à proteção dos seus dados pessoais, consagrado no artigo 8.^o, n.^o 1, da Carta dos Direitos Fundamentais e no artigo 16.^o, n.^o 1, TFUE (v., neste sentido, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.^o 207, e de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 73).

44      Uma interpretação contrária à adotada no n.^o 42 do presente acórdão, segundo a qual tal autoridade de controlo só pode agir na sequência de um pedido apresentado para esse efeito pelo titular dos dados, comprometeria a realização dos objetivos recordados nos n.^os 40 e 43 do presente acórdão, especialmente numa situação como a que está em causa no processo principal, em que o apagamento de dados pessoais que foram tratados ilicitamente diz respeito a um número potencialmente elevado de pessoas que não exerceram o seu direito ao apagamento dos dados, nos termos do artigo 17.^o, n.^o 1, do RGPD.

45      Com efeito, como alegou, em substância, a Comissão nas suas observações escritas, a exigência de um pedido prévio apresentado pelos titulares dos dados, na aceção do artigo 17.^o, n.^o 1, do RGPD, significaria que o responsável pelo tratamento poderia, não havendo esse pedido, conservar os dados pessoais em causa e continuar a tratá‑los ilicitamente. Tal interpretação prejudicaria a efetividade da proteção prevista por este regulamento, uma vez que levaria a privar de proteção os titulares de dados inativos, apesar de os seus dados pessoais terem sido tratados ilicitamente.

46      Tendo em conta as considerações precedentes, há que responder à primeira questão que o artigo 58.^o, n.^o 2, alíneas d) e g), do RGPD deve ser interpretado no sentido de que a autoridade de controlo de um Estado‑Membro pode, no exercício dos poderes de correção que detém que estão previstos nestas disposições, ordenar ao responsável pelo tratamento ou ao subcontratante que apague os dados pessoais tratados ilicitamente, apesar de o titular dos dados não ter apresentado nenhum pedido de exercício dos seus direitos nesse sentido em aplicação do artigo 17.^o, n.^o 1, deste regulamento.

 Quanto à segunda questão

47      Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 58.^o, n.^o 2, do RGPD deve ser interpretado no sentido de que o poder de a autoridade de controlo de um Estado‑Membro ordenar o apagamento de dados pessoais tratados ilicitamente pode ter por objeto tanto os dados recolhidos junto do titular dos dados como os dados provenientes de outra fonte.

48      A este respeito, importa começar por salientar que a redação das disposições mencionadas no número anterior não contém nenhuma indicação que indicie que os poderes de correção da autoridade de controlo aí enumerados depende da origem dos dados em causa e, nomeadamente, da circunstância de terem sido recolhidos junto do titular dos dados.

49      Do mesmo modo, a redação do artigo 17.^o, n.^o 1, do RGPD, que, como resulta do n.^o 37 do presente acórdão, estabelece, para o responsável pelo tratamento, uma obrigação autónoma de apagar os dados pessoais que foram tratados ilicitamente, não inclui nenhum requisito relativo à origem dos dados recolhidos.

50      Além disso, como resulta dos n.^os 41 e 42 do presente acórdão, para assegurar uma aplicação efetiva e coerente do RGPD, é necessário que a autoridade nacional de controlo disponha de poderes efetivos para agir eficazmente contra as violações deste regulamento. Por conseguinte, o exercício dos poderes de correção, conforme estabelecidos no artigo 58.^o, n.^o 2, alíneas d) e g), do RGPD, não pode depender da origem dos dados em causa e, nomeadamente, da circunstância de terem sido recolhidos junto do titular dos dados.

51      Nessa conformidade, à semelhança do que fazem todos os Governos que apresentaram observações escritas e da Comissão, há que considerar que o exercício dos poderes de correção, na aceção do artigo 58.^o, n.^o 2, alíneas d) e g), do RGPD, não pode depender do facto de os dados pessoais em causa terem ou não sido recolhidos diretamente junto do titular dos dados.

52      Tal interpretação é também corroborada pelos objetivos prosseguidos pelo RGPD, especialmente pelo artigo 58.^o, n.^o 2, deste regulamento, recordados nos n.^os 40 e 43 do presente acórdão.

53      Tendo em conta as considerações precedentes, há que responder à segunda questão que o artigo 58.^o, n.^o 2, do RGPD deve ser interpretado no sentido de que o poder de a autoridade de controlo de um Estado‑Membro ordenar o apagamento de dados pessoais tratados ilicitamente pode ter por objeto tanto os dados recolhidos junto do titular dos dados como os dados provenientes de outra fonte.

 Quanto às despesas

54      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara:

1)      O artigo 58.^o, n.^o 2, alíneas d) e g), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

a autoridade de controlo de um Estado‑Membro pode, no exercício dos poderes de correção que detém que estão previstos nestas disposições, ordenar ao responsável pelo tratamento ou ao subcontratante que apague os dados pessoais tratados ilicitamente, apesar de o titular dos dados não ter apresentado nenhum pedido de exercício dos seus direitos nesse sentido em aplicação do artigo 17.^o, n.^o 1, deste regulamento.

2)      O artigo 58.^o, n.^o 2, do Regulamento 2016/679

deve ser interpretado no sentido de que:

o poder de a autoridade de controlo de um Estado‑Membro ordenar o apagamento de dados pessoais tratados ilicitamente pode ter por objeto tanto os dados recolhidos junto do titular dos dados como os dados provenientes de outra fonte.

Assinaturas

*      Língua do processo: húngaro.