ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quinta Secção)

4 de maio de 2023 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 5.o — Princípios relativos ao tratamento — Responsabilidade pelo tratamento — Artigo 6.o — Licitude do tratamento — Processo eletrónico relativo a um pedido de asilo elaborado por uma autoridade administrativa — Transmissão ao órgão jurisdicional nacional competente através de uma caixa de correio eletrónico — Violação dos artigos 26.o e 30.o — Falta de acordo que determina a responsabilidade conjunta do tratamento e a manutenção do registo das atividades de tratamento — Consequências — Artigo 17.o, n.o 1 — Direito ao apagamento dos dados (“direito a ser esquecido”) — Artigo 18.o, n.o 1 — Direito à limitação do tratamento — Conceito de “[tratamento ilícito]” — Tomada em consideração do processo eletrónico por um órgão jurisdicional nacional — Falta de consentimento do titular dos dados»

No processo C‑60/22,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), por Decisão de 27 de janeiro de 2022, que deu entrada no Tribunal de Justiça em 1 de fevereiro de 2022, no processo

UZ

contra

Bundesrepublik Deutschland,

O TRIBUNAL DE JUSTIÇA (Quinta Secção),

composto por: E. Regan (relator), presidente de secção, D. Gratsias, M. Ilešič, I. Jarukaitis e Z. Csehi, juízes,

advogada‑geral: T. Ćapeta,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

–        em representação de UZ, por J. Leuschner, Rechtsanwalt,

–        em representação do Governo alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

–        em representação do Governo checo, por O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes,

–        em representação do Governo francês, por A.‑L. Desjonquères e J. Illouz, na qualidade de agentes,

–        em representação do Governo austríaco, por A. Posch, M.‑T. Rappersberger e J. Schmoll, na qualidade de agentes,

–        em representação do Governo polaco, por B. Majczyna, na qualidade de agente,

–        em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher e H. Kranenborg, na qualidade de agentes,

vista a decisão tomada, ouvida a advogada‑geral, de julgar a causa sem apresentação de conclusões,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 5.^o, do artigo 17.^o, n.^o 1, alínea d), do artigo 18.^o, n.^o 1, alínea b), bem como dos artigos 26.^o e 30.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1 e retificação no JO 2018, L 127, p. 2, a seguir «RGPD»).

2        Este pedido foi apresentado no âmbito de um litígio que opõe UZ, nacional de um país terceiro, à Bundesrepublik Deutschland (República Federal da Alemanha), representada pelo Bundesamt für Migration und Flüchtlinge (Serviço Federal para as Migrações e os Refugiados, Alemanha) (a seguir «Serviço Federal»), a respeito do tratamento do pedido de proteção internacional apresentado por este nacional.

 Quadro jurídico

 Direito da União

 Diretiva 2013/32/UE

3        O considerando 52 da Diretiva 2013/32/UE do Parlamento Europeu e do Conselho, 26 de junho de 2013, relativa a procedimentos comuns de concessão e retirada do estatuto de proteção internacional (reformulação) (JO 2013, L 180, p. 60), tem a seguinte redação:

«O tratamento de dados pessoais feito nos Estados‑Membros para fins da presente diretiva é regido pela Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados [(JO 1995, L 281, p. 31)].»

 RGPD

4        Os considerandos 1, 10, 40, 74, 79 e 82 do RGPD têm a seguinte redação:

«(1)      A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia […] e o artigo 16.^o, n.^o 1, [TFUE] estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

[…]

(10)      A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União [Europeia], o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. […]

[…]

(40)      Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento d[o] titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da União ou de um Estado‑Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obrigações legais a que o responsável pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligências pré‑contratuais que o titular dos dados solicitar.

[…]

(74)      Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.

[…]

(79)      A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsáveis pelo seu tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exigem uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento.

[…]

(82)      A fim de comprovar a observância do presente regulamento, o responsável pelo tratamento ou o subcontratante deverá conservar registos de atividades de tratamento sob a sua responsabilidade. Os responsáveis pelo tratamento e subcontratantes deverão ser obrigados a cooperar com a autoridade de controlo e a facultar‑lhe esses registos, a pedido, para fiscalização dessas operações de tratamento.»

5        O capítulo I do RGPD, intitulado «Disposições gerais», inclui os artigos 1.^o a 4.^o

6        Nos termos do artigo 1.^o deste regulamento, sob a epígrafe «Objeto e objetivos»:

«1.      O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2.      O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

[…]»

7        O artigo 4.^o do referido regulamento, sob a epígrafe «Definições», dispõe nos seus n.^os 2, 7 e 21:

«2)      “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

7)      “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]

21)      “Autoridade de controlo”, uma autoridade pública independente criada por um Estado‑Membro nos termos do artigo 51.^o;

[…]»

8        O capítulo II do RGPD, intitulado «Princípios», contém os artigos 5.^o a 11.^o

9        O artigo 5.^o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1.      Os dados pessoais são:

a)      Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b)      Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.^o, n.^o 1 (“limitação das finalidades”);

c)      Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d)      Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e)      Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.^o, n.^o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”);

f)      Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”);

2.      O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

10      O artigo 6.^o do referido regulamento, sob a epígrafe «Licitude do tratamento», estabelece, no seu n.^o 1:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)      O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b)      O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados;

c)      O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d)      O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e)      O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f)      O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

11      O artigo 7.^o do RGPD tem por objeto as condições aplicáveis ao consentimento, ao passo que o artigo 8.^o do mesmo regulamento estabelece as condições aplicáveis ao consentimento das crianças em relação aos serviços da sociedade da informação.

12      O artigo 9.^o deste regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», proíbe o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

13      O artigo 10.^o do referido regulamento, sob a epígrafe «Tratamento de dados pessoais relacionados com condenações penais e infrações», diz respeito ao tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.^o, n.^o 1, do mesmo regulamento.

14      O capítulo III do RGPD, intitulado «Direitos do titular dos dados», contém os artigos 12.^o a 23.^o

15      O artigo 17.^o deste regulamento, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», tem a seguinte redação:

«1.      O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

a)      Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

[…]

d)      Os dados pessoais foram tratados ilicitamente;

[…]

3.      Os n.^os 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

[…]

b)      Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado‑Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;

[…]

e)      Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.»

16      Nos termos do artigo 18.^o do referido regulamento, sob a epígrafe «Direito à limitação do tratamento»:

«1.      O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se aplique uma das seguintes situações:

[…]

b)      O tratamento for ilícito e o titular dos dados se opuser ao [apagamento dos dados pessoais] e solicitar, em contrapartida, a limitação da sua utilização;

[…]

2.      Quando o tratamento tiver sido limitado nos termos do n.^o 1, os dados pessoais só podem, à exceção da conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado‑Membro.

[…]»

17      O capítulo IV do RGPD, intitulado «Responsável pelo tratamento e subcontratante», contém os artigos 24.^o a 43.^o

18      Incluído na secção 1 deste capítulo, intitulada «Obrigações gerais», o artigo 26.^o deste regulamento, sob a epígrafe «Responsáveis conjuntos pelo tratamento», tem a seguinte redação:

«1.      Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.^o e 14.^o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado‑Membro a que […] estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2.      O acordo a que se refere o n.^o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3.      Independentemente dos termos do acordo a que se refere o n.^o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação [a] e [contra] cada um dos responsáveis pelo tratamento.»

19      O artigo 30.^o do referido regulamento, sob a epígrafe «Registo das atividades de tratamento», prevê:

«1.      Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

a)      O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;

b)      As finalidades do tratamento dos dados;

c)      A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d)      As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

[…]

4.      O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.

[…]»

20      Incluído no capítulo VI do RGPD, sob a epígrafe «Autoridades de controlo independentes», o artigo 58.^o, sob a epígrafe «Poderes», dispõe, no seu n.^o 2:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a)      Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b)      Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

c)      Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d)      Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

e)      Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;

f)      Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

g)      Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.^o, 17.^o e 18.^o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.^o, n.^o 2, e do artigo 19.^o;

h)      Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.^o e 43.^o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;

i)      Impor uma coima nos termos do artigo 83.^o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

j)      Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.»

21      O capítulo VIII deste regulamento, intitulado «Vias de recurso, responsabilidade e sanções», contém os artigos 77.^o a 84.^o

22      O artigo 77.^o do referido regulamento, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», dispõe, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.»

23      O artigo 82.^o do RGPD, sob a epígrafe «Direito de indemnização e responsabilidade», estabelece, nos seus n.^os 1 e 2:

«1.      Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2.      Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.»

24      O artigo 83.^o deste regulamento, sob a epígrafe «Condições gerais para a aplicação de coimas», prevê, nos seus n.^os 4, 5 e 7:

«4.      A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.^o 2, a coimas até 10 000 000 [euros] ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)      As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.^o, 11.^o, 25.^o a 39.^o e 42.^o e 43.^o;

[…]

5.      A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.^o 2, a coimas até 20 000 000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)      Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.^o, 6.^o, 7.^o e 9.^o;

[…]

7.      Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.^o, n.^o 2, os Estados‑Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.»

25      Incluído no capítulo XI do referido regulamento, intitulado «Disposições finais», o artigo 94.^o, sob a epígrafe «Revogação da Diretiva 95/46/CE», dispõe:

«1.      A Diretiva 95/46/CE é revogada com efeitos a partir de 25 de maio de 2018.

2.      As remissões para a diretiva revogada são consideradas remissões para [o] presente regulamento. As referências ao Grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.^o da Diretiva 95/46/CE, são consideradas referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.»

 Direito alemão

26      O § 43 da Bundesdatenschutzgesetz (Lei Federal relativa à Proteção de Dados), de 20 de dezembro de 1990 (BGBl. 1990 I, p. 2954), na sua versão aplicável ao litígio no processo principal (a seguir «BDSG»), sob a epígrafe «Disposições relativas às coimas»), enuncia, no seu n.^o 3:

«Não pode ser aplicada qualquer coima às autoridades e outros organismos públicos na aceção do § 2, n.^o 1, [BDSG].»

 Litígio no processo principal e questões prejudiciais

27      Em 7 de maio de 2019, o demandante no processo principal apresentou um pedido de proteção internacional no Serviço Federal, que o indeferiu.

28      Para adotar a sua decisão de indeferimento (a seguir «decisão controvertida»), o Serviço Federal baseou‑se no processo eletrónico «MARIS» elaborado por si, e que continha os dados pessoais relativos ao demandante no processo principal.

29      Este último interpôs recurso da decisão controvertida para o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), que é o órgão jurisdicional de reenvio no presente processo. O processo eletrónico «MARIS» foi então enviado a esse órgão jurisdicional, no âmbito de um procedimento conjunto ao abrigo do artigo 26.^o do RGPD, através da caixa de correio eletrónico dos tribunais e da administração (Elektronisches Gerichts‑ und Verwaltungspostfach), que é gerida por um organismo público que faz parte do poder executivo.

30      O órgão jurisdicional de reenvio salienta que resulta do considerando 52 da Diretiva 2013/32 que o tratamento de dados pessoais feito pelos Estados‑Membros no âmbito dos procedimentos de concessão de proteção internacional é regulado pelo RGPD.

31      No entanto, esse órgão jurisdicional duvida que a manutenção do processo eletrónico elaborado pelo Serviço Federal e o envio, ao primeiro, desse processo pela caixa de correio eletrónico dos tribunais e da administração esteja em conformidade com esse regulamento.

32      Por um lado, no que respeita à manutenção do processo eletrónico, não foi demonstrado que o Serviço Federal cumpre as disposições conjugadas do artigo 5.^o, n.^o 1, e do artigo 30.^o do RGPD. Com efeito, apesar de um pedido apresentado para esse efeito pelo órgão jurisdicional de reenvio, o Serviço Federal não disponibilizou um registo das atividades de tratamento completo relativo a esse processo. Ora, esse registo deveria ter sido elaborado no momento do tratamento dos dados pessoais relativos ao demandante no processo principal, a saber, na data da apresentação do seu pedido de proteção internacional. O Serviço Federal deve ser ouvido sobre a questão da sua responsabilidade, nos termos do artigo 5.^o, n.^o 2, do RGPD, depois de o Tribunal de Justiça se ter pronunciado sobre o presente pedido de decisão prejudicial.

33      Por outro lado, no que respeita à transmissão do processo eletrónico através da caixa de correio eletrónico dos tribunais e da administração, tal transmissão constitui um «tratamento» de dados, na aceção do artigo 4.^o, n.^o 2, do RGPD, que deve ser conforme com os princípios enunciados no artigo 5.^o deste regulamento. Ora, em violação do artigo 26.^o do referido regulamento, nenhuma regulamentação nacional regula este procedimento de transmissão entre as autoridades e os órgãos jurisdicionais administrativos definindo as responsabilidades respetivas dos responsáveis conjuntos pelo tratamento e o Serviço Federal não apresentou nenhum acordo nesse sentido, apesar de o órgão jurisdicional de reenvio ter apresentado um pedido para esse efeito. Este último interroga‑se, assim, quanto à questão da licitude dessa transferência de dados através da caixa de correio eletrónico dos tribunais e da administração.

34      Em especial, segundo o órgão jurisdicional de reenvio, importa determinar se a violação das obrigações previstas nos artigos 5.^o, 26.^o e 30.^o do RGPD, das quais decorre a ilicitude do tratamento de dados pessoais, deve ser sancionada com o apagamento desses dados, em conformidade com o artigo 17.^o, n.^o 1, alínea d), deste regulamento, ou com uma limitação do tratamento, em conformidade com o artigo 18.^o, n.^o 1, alínea b), do referido regulamento. Tais sanções devem, pelo menos, ser consideradas em caso de pedido do titular dos dados. De outro modo, esse órgão jurisdicional ver‑se‑ia obrigado a participar num tratamento ilícito dos referidos dados no âmbito do processo judicial. Nesse caso, só a autoridade de controlo poderia intervir, em aplicação do artigo 58.^o do RGPD, aplicando às autoridades públicas em causa uma coima, ao abrigo do artigo 83.^o, n.^o 5, alínea a), deste regulamento. No entanto, em conformidade com o § 43, n.^o 3, da BDSG, que transpõe o artigo 83.^o, n.^o 7, do referido regulamento, não pode ser aplicada nenhuma coima a nível nacional às autoridades e outros organismos públicos. Daqui resulta que nem a Diretiva 2013/32 nem o RGPD são respeitados.

35      Por outro lado, o órgão jurisdicional de reenvio considera que o tratamento em causa no processo principal não está abrangido pelo artigo 17.^o, n.^o 3, alínea e), do RGPD, que permite a utilização de dados pessoais para efeitos de declaração, exercício ou defesa de um direito num processo judicial pelo demandado. É certo que, no caso em apreço, os dados são utilizados pelo Serviço Federal para cumprir, em conformidade com o artigo 17.^o, n.^o 3, alínea b), deste regulamento, uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado‑Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento. No entanto, se esta disposição fosse aplicada, isso equivaleria a legalizar de forma duradoura uma prática contrária à legislação em matéria de proteção de dados.

36      Por conseguinte, esse órgão jurisdicional pergunta‑se em que medida pode, no âmbito da sua atividade jurisdicional, ter em consideração os dados pessoais fornecidos no âmbito de um processo dessa natureza abrangido pelo poder executivo. Com efeito, se a manutenção do processo eletrónico ou a sua transmissão pela caixa de correio eletrónico dos tribunais e da administração devesse ser qualificada de tratamento ilícito à luz do RGPD, o referido órgão jurisdicional participaria, através dessa tomada em consideração, no tratamento ilícito em causa, o que seria contrário ao objetivo prosseguido por esse regulamento, que consiste em proteger as liberdades e os direitos fundamentais das pessoas singulares, especialmente o seu direito à proteção dos dados pessoais.

37      A este respeito, o órgão jurisdicional de reenvio pergunta‑se ainda se a circunstância de o titular dos dados ter dado o seu consentimento expresso ou de se opor à utilização dos seus dados pessoais no âmbito de um processo judicial é suscetível de influenciar a possibilidade de esses dados serem tomados em consideração. No caso de esse órgão jurisdicional não poder tomar em consideração os dados contidos no processo eletrónico «MARIS» devido às ilegalidades que viciam a manutenção e a transmissão desse processo, não existe nenhuma base jurídica, enquanto se aguarda uma eventual regularização dessas ilegalidades, para tomar uma decisão sobre o pedido do demandante no processo principal destinado a conceder‑lhe o estatuto de refugiado. Consequentemente, o referido órgão jurisdicional deve anular a decisão controvertida.

38      Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      O incumprimento ou o não cumprimento integral por parte de um responsável pelo tratamento do princípio da responsabilidade nos termos do artigo 5.^o do [RGPD], consubstanciado, por exemplo, na falta de registo ou de registo completo das atividades de tratamento nos termos do artigo 30.^o [deste regulamento], ou a falta de acordo sobre um procedimento conjunto a esse respeito nos termos do artigo 26.^o do [referido regulamento], implicam que o tratamento de dados é ilícito na aceção do artigo 17.^o, n.^o 1, alínea d), e do artigo 18.^o, n.^o 1, alínea b), [desse regulamento], de modo que o [titular dos dados] tem direito ao apagamento ou à limitação do tratamento?

2)      Em caso de resposta afirmativa à primeira questão: a existência de um direito ao apagamento ou à limitação do tratamento implica que os dados tratados não devem ser tomados em consideração num processo judicial? Aplica‑se, em todo o caso, quando o titular dos dados [se opuser à] respetiva utilização no processo judicial?

3)      Em caso de resposta negativa à primeira questão: a violação dos artigos 5.^o, 30.^o ou 26.^o do RGPD por um responsável pelo tratamento implica que um órgão jurisdicional nacional, ao apreciar a questão da utilização processual do tratamento de dados, só deve tomar os dados em consideração quando o titular dos dados dê expressamente o seu consentimento para essa utilização?»

 Quanto às questões prejudiciais

 Quanto à admissibilidade

39      Sem suscitar formalmente uma exceção de inadmissibilidade, o Governo alemão manifesta dúvidas quanto à pertinência das questões prejudiciais para a resolução do litígio no processo principal. Antes de mais, resulta da decisão de reenvio que a violação, pelo Serviço Federal, do artigo 5.^o, n.^o 2, do RGPD não está definitivamente demonstrada, limitando‑se o órgão jurisdicional de reenvio a presumir essa violação. Em seguida, esse órgão jurisdicional apenas referiu os processos do Serviço Federal, ainda que se admita que não estivesse autorizado a utilizá‑los, seriam os únicos decisivos para a solução deste litígio. Com efeito, o órgão jurisdicional dispõe igualmente de outras fontes de informação, as quais, por força do princípio da apreciação oficiosa, devem ser plenamente exploradas quando uma autoridade não apresente nenhum processo ou estes estejam incompletos. Por último, a terceira questão é manifestamente hipotética, uma vez que não resulta da decisão de reenvio que o demandante no processo principal consentiu ou consentiria na exploração do tratamento dos seus dados pessoais pelo órgão jurisdicional de reenvio.

40      Importa recordar que, segundo jurisprudência constante do Tribunal de Justiça, as questões relativas ao direito da União gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, se o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ou se o problema for hipotético. Além disso, no âmbito do processo previsto no artigo 267.^o TFUE, que se baseia numa nítida separação de funções entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, o juiz nacional tem competência exclusiva para apurar e apreciar os factos do litígio no processo principal (v., nomeadamente, Acórdão de 24 de março de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, n.^os 20 e 21 e jurisprudência referida).

41      Como resulta claramente do segundo parágrafo do artigo 267.^o TFUE, no quadro da cooperação estreita entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, assente numa repartição de funções entre eles, é ao órgão jurisdicional de reenvio que incumbe decidir em que fase do processo deve este órgão jurisdicional colocar uma questão prejudicial ao Tribunal de Justiça (Acórdão de 17 de julho de 2008, Coleman, C‑303/06, EU:C:2008:415, n.^o 29 e jurisprudência referida).

42      Em especial, como o Tribunal de Justiça já declarou, a este respeito, que o facto de haver questões de facto ainda não sujeitas a processo contraditório de administração da prova, enquanto tal, não são suscetíveis de levar à inadmissibilidade de uma questão prejudicial (v., neste sentido, Acórdão de 11 de setembro de 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, n.^o 19 e jurisprudência referida).

43      Ora, no caso em apreço, embora resulte do pedido de decisão prejudicial que o órgão jurisdicional de reenvio não se pronunciou definitivamente sobre a existência de uma violação, pelo Serviço Federal, das obrigações que lhe incumbem por força do artigo 5.^o, n.^o 2, do RGPD, lido em conjugação com os artigos 26.^o e 30.^o deste regulamento, devendo este aspeto do litígio no processo principal ainda, segundo as indicações apresentadas nesse pedido, ser objeto de debate contraditório, não deixa de ser verdade que esse órgão jurisdicional constatou que nem o acordo relativo ao tratamento conjunto dos dados nem os registos das atividades de tratamento, visados por estas duas últimas disposições, não foram apresentados pelo Serviço Federal como responsável pelo tratamento, e isto apesar do pedido que lhe dirigiu para esse efeito.

44      Por outro lado, resulta da decisão de reenvio que, na opinião do referido órgão jurisdicional, ao qual incumbe exclusivamente a tarefa de apurar e apreciar os factos, a decisão controvertida foi adotada apenas com base no processo eletrónico elaborado pelo Serviço Federal, cuja manutenção e transmissão poderiam violar as regras enunciadas pelo referido regulamento, pelo que essa decisão poderia ter de ser anulada por esse motivo.

45      Por último, quanto ao consentimento do demandante no processo principal para a utilização dos seus dados pessoais no âmbito do processo judicial, basta salientar que a terceira questão prejudicial visa precisamente determinar se é necessário, no caso em apreço, que esse consentimento seja expresso para que o órgão jurisdicional de reenvio seja autorizado a tomar esses dados em consideração.

46      Nestas condições, uma vez que ao Tribunal de Justiça foi assim submetido um pedido de interpretação do direito da União que não se pode considerar manifestamente desprovido de ligação com a realidade ou com o objeto do litígio do processo principal e que o Tribunal de Justiça dispõe dos elementos necessários para responder de forma útil às questões que lhe são colocadas, relativas à incidência do RGPD no litígio no processo principal, deve responder‑lhes sem ter de se interrogar sobre a presunção de facto em que se baseou o tribunal de reenvio, presunção essa que caberá a esse tribunal apreciar subsequentemente, se o considerar necessário (v., por analogia, Acórdão de 17 de julho de 2008, Coleman, C‑303/06, EU:C:2008:415, n.^o 31 e jurisprudência referida).

47      Por conseguinte, importa considerar que o presente pedido de decisão prejudicial é admissível e responder às questões submetidas pelo órgão jurisdicional de reenvio, entendendo‑se que incumbe, todavia, a este último verificar se o Serviço Federal violou as obrigações previstas nos artigos 26.^o e 30.^o do RGPD.

 Quanto ao mérito

 Quanto à primeira questão

48      Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.^o, n.^o 1, alínea d), e o artigo 18.^o, n.^o 1, alínea b), do RGPD devem ser interpretados no sentido de que a violação, pelo responsável pelo tratamento, das obrigações previstas nos artigos 26.^o e 30.^o deste regulamento, relativas, respetivamente, à manutenção de um registo das atividades de tratamento e à celebração de um acordo que determina a responsabilidade conjunta do tratamento, constitui um tratamento ilícito que confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento, uma vez que essa violação implica também uma violação, pelo responsável pelo tratamento, do princípio da «responsabilidade» conforme enunciado no artigo 5.^o, n.^o 2, do referido regulamento.

49      Segundo jurisprudência constante do Tribunal de Justiça, para a interpretação de uma disposição do direito da União, há que ter em conta não só os seus termos mas também o contexto em que se insere e os objetivos da regulamentação de que faz parte (v., neste sentido, nomeadamente, Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.^o 32 e jurisprudência referida).

50      No que respeita, em primeiro lugar, à redação das disposições pertinentes do direito da União, importa recordar que, em conformidade com o artigo 17.^o, n.^o 1, alínea d), do RGPD, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando estes foram «tratados ilicitamente».

51      Do mesmo modo, por força do artigo 18.^o, n.^o 1, alínea b), do RGPD, se o titular dos dados se opuser ao apagamento desses dados e solicitar, em contrapartida, a limitação da sua utilização, tem o direito de obter do responsável pelo tratamento a limitação do tratamento se o «tratamento for ilícito».

52      As disposições mencionadas nos dois números anteriores devem ser lidas em conjugação com o artigo 5.^o, n.^o 1, deste regulamento, segundo o qual o tratamento dos dados pessoais devem respeitar um certo número de princípios que estão enunciados nesta disposição, entre os quais o que figura no artigo 5.^o, n.^o 1, alínea a), do referido regulamento, que especifica que os dados pessoais são objeto «de um tratamento lícito, leal e transparente em relação ao titular dos dados».

53      Nos termos do n.^o 2, do artigo 5.^o, do RGPD, o responsável pelo tratamento, em conformidade com o princípio da «responsabilidade» enunciado nesta disposição, é responsável pelo cumprimento do disposto no n.^o 1 deste artigo e deve poder comprovar que respeita cada um dos princípios enunciados nesse n.^o 1, recaindo o ónus da prova sobre este [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.^os 77, 78 e 81].

54      Daqui resulta que, em aplicação do n.^o 2 do artigo 5.^o do referido regulamento, lido em conjugação com o n.^o 1, alínea a), deste artigo, o responsável pelo tratamento deve assegurar‑se do caráter «lícito» do tratamento de dados que efetua.

55      Ora, há que constatar que a licitude do tratamento é precisamente o objeto, como resulta da sua própria epígrafe, do artigo 6.^o do RGPD, que prevê que o tratamento só é lícito se e desde que pelo menos uma das seguintes situações enunciadas no n.^o 1, primeiro parágrafo, alíneas a) a f), deste artigo se verifique, a saber, como resulta igualmente do considerando 40 deste regulamento, ou que o titular dos dados tenha dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas, ou a necessidade do tratamento para uma das finalidades visadas, que consistem, respetivamente, na execução de um contrato no qual o titular dos dados é parte ou em diligências pré‑contratuais a pedido do mesmo, no cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, na defesa dos interesses vitais do titular dos dados ou de outra pessoa singular, no exercício de funções de interesse público ou no exercício da autoridade pública de que está investido o responsável pelo tratamento, bem como nos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular.

56      Esta lista de casos em que o tratamento de dados pessoais pode ser considerado lícito é exaustiva e taxativa, pelo que, para ser considerado legítimo, o tratamento deve integrar‑se num dos casos previstos no referido artigo 6.^o, n.^o 1, primeiro parágrafo, do RGPD [v., neste sentido, Acórdãos de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 99 e jurisprudência referida, e de 8 de dezembro de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — inquérito penal), C‑180/21, EU:C:2022:967, n.^o 83].

57      Assim, segundo a jurisprudência do Tribunal de Justiça, qualquer tratamento de dados pessoais deve ser conforme com os princípios relativos ao tratamento de dados enunciados no artigo 5.^o, n.^o 1, deste regulamento e cumprir os requisitos de licitude do tratamento enumerados no artigo 6.^o do referido regulamento [v., nomeadamente, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.^o 208, de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 96, e de 20 de outubro de 2022, Digi, C‑77/21, EU:C:2022:805, n.^os 49 e 56].

58      Por outro lado, uma vez que os artigos 7.^o a 11.^o do RGPD, que figuram, à semelhança dos seus artigos 5.^o e 6.^o, no capítulo II deste regulamento, que é relativo aos princípios, têm por objeto precisar o alcance das obrigações que incumbem ao responsável pelo tratamento por força do artigo 5.^o, n.^o 1, alínea a), e do artigo 6.^o, n.^o 1, do referido regulamento, o tratamento de dados pessoais, para ser lícito, deve igualmente respeitar, como resulta da jurisprudência do Tribunal de Justiça, essas outras disposições do referido capítulo que dizem respeito, em substância, ao consentimento, ao tratamento de categorias específicas de dados pessoais de caráter sensível e ao tratamento de dados pessoais relativos às condenações penais e às infrações [v., neste sentido, Acórdãos de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, EU:C:2019:773, n.^os 72 a 75, e de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^os 100, 102 e 106].

59      Ora, cumpre referir, à semelhança de todos os governos que apresentaram observações escritas e da Comissão Europeia, que o cumprimento, pelo responsável pelo tratamento, da obrigação de celebrar um acordo que determine a responsabilidade conjunta pelo tratamento, prevista no artigo 26.^o do RGPD, e da de manter um registo das atividades de tratamento, prevista no artigo 30.^o deste regulamento, não figura entre os fundamentos de licitude do tratamento enunciados no artigo 6.^o, n.^o 1, primeiro parágrafo, do referido regulamento.

60      Além disso, contrariamente aos artigos 7.^o a 11.^o do RGPD, os artigos 26.^o e 30.^o deste regulamento não têm por objeto precisar o alcance das exigências enunciadas no artigo 5.^o, n.^o 1, alínea a), e no artigo 6.^o, n.^o 1, do referido regulamento.

61      Por conseguinte, deduz‑se da própria redação do artigo 5.^o, n.^o 1, alínea a), e do artigo 6.^o, n.^o 1, primeiro parágrafo, do RGPD que a violação por parte do responsável pelo tratamento das obrigações previstas nos artigos 26.^o e 30.^o deste regulamento não constitui um «[tratamento ilícito]», na aceção do artigo 17.^o, n.^o 1, alínea d), e do artigo 18.^o, n.^o 1, alínea b), do referido regulamento, que decorreria da violação por este do princípio da «responsabilidade» como enunciado no artigo 5.^o, n.^o 2, do mesmo regulamento.

62      Esta interpretação é corroborada, em segundo lugar, pelo contexto em que se inscrevem estas diferentes disposições. Com efeito, resulta claramente da própria estrutura do RGPD e, por conseguinte, da sistemática do mesmo que este distingue entre, por um lado, os «princípios», que são objeto do seu capítulo II, que inclui, nomeadamente, os artigos 5.^o e 6.^o deste regulamento, e, por outro, as «obrigações gerais», que fazem parte da secção 1 do capítulo IV do referido regulamento relativo aos responsáveis pelo tratamento, entre as quais figuram as obrigações previstas nos artigos 26.^o e 30.^o do mesmo regulamento.

63      Por outro lado, esta distinção está refletida no capítulo VIII do RGPD relativo às sanções, uma vez que as violações dos artigos 26.^o e 30.^o deste regulamento, por um lado, e dos seus artigos 5.^o e 6.^o, por outro, são objeto, respetivamente, nos n.^os 4 e 5 do artigo 83.^o do referido regulamento, de coimas até um determinado montante, que é diferente consoante o número em causa devido ao nível de gravidade dessas respetivas violações que é reconhecido pelo legislador da União.

64      Em terceiro e último lugar, a interpretação literal do RGPD referida no n.^o 61 do presente acórdão é corroborada pelo objetivo prosseguido por este regulamento, resultante do seu artigo 1.^o e dos seus considerandos 1 e 10, que consiste, nomeadamente, em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular, do seu direito à vida privada no que diz respeito ao tratamento de dados pessoais, consagrado no artigo 8.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.^o, n.^o 1, TFUE (v., neste sentido, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.^o 125 e jurisprudência referida).

65      Com efeito, a falta de um acordo que determine a responsabilidade conjunta, em aplicação do artigo 26.^o do RGPD, ou de um registo das atividades de tratamento, na aceção do artigo 30.^o deste regulamento, não basta para demonstrar, por si só, a existência de uma violação do direito fundamental à proteção dos dados pessoais. Em especial, embora seja verdade que, como resulta dos seus considerandos 79 e 82, a clara repartição de responsabilidades entre os responsáveis conjuntos pelo tratamento e o registo das atividades de tratamento constituem meios para garantir o cumprimento, por esses responsáveis, das garantias previstas pelo referido regulamento para a proteção dos direitos e liberdades dos titulares dos dados, não é menos verdade que a falta desse registo ou de tal acordo não demonstra, por si só, que esses direitos e liberdades foram violados.

66      Daqui resulta que uma violação dos artigos 26.^o e 30.^o do RGPD pelo responsável pelo tratamento não constitui um «[tratamento ilícito]», na aceção do artigo 17.^o, n.^o 1, alínea d), ou do artigo 18.^o, n.^o 1, alínea b), deste regulamento, lidos em conjugação com o artigo 5.^o, n.^o 1, alínea a), e o artigo 6.^o, n.^o 1, primeiro parágrafo, do mesmo, que conferem ao titular dos dados um direito ao apagamento ou à limitação do tratamento.

67      Como alegaram todos os governos que apresentaram observações escritas e a Comissão, essa violação deve, portanto, ser sanada através do recurso a outras medidas previstas no RGPD, como a adoção, pela autoridade de controlo, de «poderes de correção», na aceção do artigo 58.^o, n.^o 2, deste regulamento, nomeadamente, nos termos da alínea d) desta disposição, a conformidade das operações de tratamento, a apresentação de reclamação a uma autoridade de controlo, nos termos do artigo 77.^o, n.^o 1, deste regulamento, ou a indemnização pelo dano eventualmente causado pelo responsável pelo tratamento, ao abrigo do seu artigo 82.^o

68      Por último, tendo em conta as preocupações expressas pelo órgão jurisdicional de reenvio, importa ainda especificar que a circunstância de, no caso em apreço, a aplicação de uma coima, por força do artigo 58.^o, n.^o 2, alínea i), e do artigo 83.^o do RGPD, estar excluída uma vez que o direito nacional proíbe essa sanção ao Serviço Federal não é suscetível de impedir uma aplicação efetiva deste regulamento. Com efeito, basta salientar, a este respeito, que o artigo 83.^o, n.^o 7, do referido regulamento confere expressamente aos Estados‑Membros a faculdade de preverem se e em que medida essas coimas podem ser aplicadas às autoridades ou organismos públicos. De resto, as diferentes medidas alternativas previstas pelo RGPD, recordadas no número anterior, permitem assegurar essa aplicação efetiva.

69      Consequentemente, há que responder à primeira questão que o artigo 17.^o, n.^o 1, alínea d), e o artigo 18.^o, n.^o 1, alínea b), do RGPD devem ser interpretados no sentido de que a violação, pelo responsável pelo tratamento, das obrigações previstas nos artigos 26.^o e 30.^o deste regulamento, relativas, respetivamente, à celebração de um acordo que determina a responsabilidade conjunta do tratamento e à manutenção de um registo das atividades de tratamento, não constitui um tratamento ilícito que confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento, uma vez que essa violação não implica, enquanto tal, uma violação por parte do responsável pelo tratamento do princípio da «responsabilidade» como enunciado no artigo 5.^o, n.^o 2, do referido regulamento, lido em conjugação com o artigo 5.^o, n.^o 1, alínea a), e com o artigo 6.^o, n.^o 1, primeiro parágrafo, deste último.

 Quanto à segunda questão

70      Tendo em conta a resposta dada à primeira questão, não há que responder à segunda.

 Quanto à terceira questão

71      Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o direito da União deve ser interpretado no sentido de que, quando o responsável pelo tratamento de dados pessoais violou as obrigações que lhe incumbem por força dos artigos 26.^o ou 30.^o do RGPD, a licitude da tomada em consideração desses dados por um órgão jurisdicional nacional está sujeita ao consentimento do titular dos dados.

72      A este respeito, cumpre referir que resulta claramente da própria redação do primeiro parágrafo do n.^o 1 do artigo 6.^o deste regulamento que o consentimento do titular dos dados, referido na alínea a) deste parágrafo, constitui apenas um dos fundamentos de licitude do tratamento, não sendo esse consentimento, em contrapartida, exigido pelos outros fundamentos de licitude enunciados nas alíneas b) a f) do referido parágrafo, relativos, em substância, à necessidade do tratamento para a realização de determinadas finalidades (v., por analogia, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.^o 41).

73      Ora, quando um órgão jurisdicional exerce as competências jurisdicionais que lhe foram conferidas pelo direito nacional, o tratamento de dados pessoais a efetuar por esse órgão jurisdicional deve ser considerado necessário à finalidade enunciada no artigo 6.^o, n.^o 1, primeiro parágrafo, alínea e), do referido regulamento, relativo ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

74      Uma vez que, por um lado, basta que se verifique uma das situações previstas no artigo 6.^o, n.^o 1, do RGPD esteja satisfeita para que um tratamento de dados pessoais possa ser considerado lícito, e que, por outro, como se concluiu no n.^o 61 do presente acórdão, a violação dos artigos 26.^o e 30.^o deste regulamento não constitui um tratamento ilícito, a tomada em consideração, pelo órgão jurisdicional de reenvio, de dados pessoais que tenham sido tratados pelo Serviço Federal em violação das obrigações previstas nestes últimos artigos não está sujeita ao consentimento do titular dos dados.

75      Consequentemente, há que responder à terceira questão que o direito da União deve ser interpretado no sentido de que, quando o responsável pelo tratamento de dados pessoais tenha violado as obrigações que lhe incumbem por força dos artigos 26.^o ou 30.^o do RGPD, a licitude da tomada em consideração desses dados por um órgão jurisdicional nacional não está sujeita ao consentimento do titular dos dados.

 Quanto às despesas

76      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara:

1)      O artigo 17.^o, n.^o 1, alínea d), e o artigo 18.^o, n.^o 1, alínea b), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

devem ser interpretados no sentido de que:

a violação, pelo responsável pelo tratamento, das obrigações previstas nos artigos 26.^o e 30.^o deste regulamento, relativas, respetivamente, à celebração de um acordo que determina a responsabilidade conjunta do tratamento e à manutenção de um registo das atividades de tratamento, não constitui um tratamento ilícito que confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento, uma vez que essa violação não implica, enquanto tal, uma violação por parte do responsável pelo tratamento do princípio da «responsabilidade» como enunciado no artigo 5.^o, n.^o 2, do referido regulamento, lido em conjugação com o artigo 5.^o, n.^o 1, alínea a), e com o artigo 6.^o, n.^o 1, primeiro parágrafo, deste último.

2)      O direito da União deve ser interpretado no sentido de que, quando o responsável pelo tratamento de dados pessoais tenha violado as obrigações que lhe incumbem por força dos artigos 26.^o ou 30.^o do Regulamento 2016/679, a licitude da tomada em consideração desses dados por um órgão jurisdicional nacional não está sujeita ao consentimento do titular dos dados.

Assinaturas

*      Língua do processo: alemão.