CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

CONCLUSÕES DA ADVOGADA‑GERAL

LAILA MEDINA

apresentadas em 15 de junho de 2023 (1)

Processo C‑333/22

Ligue des droits humains ASBL,

contra

Organe de contrôle de l’information policière

[pedido de decisão prejudicial apresentado pela cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica)]

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais em matéria penal — Exercício dos direitos do titular dos dados através da autoridade de controlo competente — Verificação por esta autoridade da licitude do tratamento dos dados pessoais do titular dos dados — Direito de intentar uma ação judicial contra a autoridade de controlo»

1. A Diretiva (UE) 2016/680 (2), mais conhecida por «Diretiva Proteção de Dados na Aplicação da Lei», estabelece regras específicas sobre a proteção de dados pessoais e a livre circulação dos mesmos nos domínios da cooperação judiciária em matéria penal e da cooperação policial, e reflete, em substância, a «especificidade dos domínios em causa» (3). A Diretiva 2016/680 prossegue dois objetivos políticos. Por um lado, destina‑se a contribuir para a realização de um espaço de liberdade, segurança e justiça (ELSJ) (4), permitindo a livre circulação de dados pessoais entre as autoridades competentes para efeitos de aplicação da lei (5). Por outro, pretende assegurar um elevado nível de proteção destes dados. Tem como base jurídica o artigo 16.^o, n.^o 2, TFUE, que incumbe o legislador da União de estabelecer regras relativas à proteção dos dados pessoais.

2. No entanto, a «conciliação» dos dois objetivos políticos prosseguidos pela Diretiva 2016/680 continua a ser uma tarefa difícil (6). O presente processo representa uma oportunidade para o Tribunal de Justiça de examinar um exemplo concreto de ponderação entre a aplicação da lei e a proteção de dados nos casos em que os titulares dos dados exercem os seus direitos. A diretiva reforça os direitos dos titulares dos dados em relação ao regime anterior previsto na Decisão‑Quadro 2008/977/JAI do Conselho (7). O reforço prende‑se, mais especificamente, com o reconhecimento do direito de acesso direto do titular dos dados, o que constitui um elemento essencial do direito fundamental à proteção dos dados. Conforme observado pela doutrina, os direitos dos titulares dos dados no domínio da aplicação da lei são «um instrumento essencial contra as assimetrias de poder de informação e as operações de tratamento ilícitas» (8). É, por isso, crucial assegurar que estes direitos possam ser exercidos eficazmente.

I. Quadro jurídico

Direito da União Europeia

Diretiva 2016/680

3. O artigo 3.^o da Diretiva 2016/680 contém as definições seguintes:

«8) “Responsável pelo tratamento”, a autoridade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou pelo direito de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]

15) “Autoridade de controlo”, uma autoridade pública independente criada por um Estado‑Membro nos termos do artigo 41.^o»

4. O capítulo III da Diretiva 2016/680 intitula‑se «Direitos do titular dos dados». Este capítulo abrange o artigo 13.^o, sob a epígrafe «Informações a facultar ou a fornecer ao titular dos dados», que prevê, nos n.^os 3 e 4:

«3. Os Estados‑Membros podem adotar medidas legislativas que prevejam o adiamento, a limitação ou a não prestação aos titulares dos dados das informações a que se refere o n.^o 2 se e enquanto tais medidas constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

4. Os Estados‑Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das alíneas do n.^o 3.»

5. O artigo 14.^o da Diretiva 2016/680, sob a epígrafe «Direito de acesso do titular dos dados aos seus dados pessoais», estabelece:

«Sem prejuízo do artigo 15.^o, os Estados‑Membros preveem que o titular dos dados tenha o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento e, em caso afirmativo, acesso aos seus dados pessoais e às seguintes informações:

[…]»

6. O artigo 15.^o da Diretiva 2016/680, sob a epígrafe «Limitações do direito de acesso», dispõe:

«1. Os Estados‑Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto tal limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e liberdades de terceiros.

2. Os Estados‑Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das categorias previstas no n.^o 1.

3. Nos casos a que se referem os n.^os 1 e 2, os Estados‑Membros preveem que o responsável pelo tratamento informe por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.^o 1. Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito que lhe assiste de apresentar reclamação à autoridade de controlo ou de intentar uma ação judicial.

4. Os Estados‑Membros preveem que o responsável pelo tratamento detalhe os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada às autoridades de controlo.»

7. O artigo 16.^o da Diretiva 2016/680, sob a epígrafe «Direito de retificação ou apagamento dos dados pessoais e limitação do tratamento», enuncia, no seu n.^o 4:

«Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados, por escrito, de todos os casos de recusa da retificação ou do apagamento de dados pessoais ou da limitação do tratamento, e dos motivos da recusa. Os Estados‑Membros podem adotar medidas legislativas que limitem, total ou parcialmente, a obrigação de fornecer essas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito de apresentar reclamação à autoridade de controlo ou de intentar ação judicial.»

8. O artigo 17.^o da Diretiva 2016/680, sob a epígrafe «Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo», estabelece:

«1. Nos casos referidos no artigo 13.^o, n.^o 3, no artigo 15.^o, n.^o 3 e no artigo 16.^o, n.^o 4, os Estados‑Membros adotam medidas que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos através da autoridade de controlo competente.

2. Os Estados‑Membros preveem que o responsável pelo tratamento informe o titular dos dados que os seus direitos podem ser exercidos através da autoridade de controlo nos termos do n.^o 1.

3. Se for exercido o direito referido no n.^o 1, a autoridade de controlo informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame. A autoridade de controlo informa também o titular dos dados acerca do seu direito de intentar ação judicial.»

Direito belga

9. A loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Lei relativa à Proteção das Pessoas Singulares Quanto ao Tratamento de Dados Pessoais), de 30 de julho de 2018 (Moniteur belge, de 5 de setembro de 2018, p. 68616) (a seguir «LPD»), transpõe a Diretiva 2016/680 para o direito belga. O título 2, capítulo III, da LPD consagra os direitos dos titulares dos dados, que consistem, essencialmente, no direito à informação, no direito de acesso aos dados e no direito de retificação.

10. O artigo 42.^o da LPD prevê:

«O pedido de exercício dos direitos referido no presente capítulo relativamente às autoridades policiais […] ou à Inspection générale de la police fédérale et de la police locale (Inspeção‑Geral da Polícia Federal e da Polícia Local) é dirigido à autoridade de controlo referida no artigo 71.^o

Nos casos previstos nos artigos 37.^o, n.^o 2, 38.^o, n.^o 2, 39.^o, n.^o 4, e 62.^o, n.^o 1, a autoridade de controlo referida no artigo 71.^o apenas comunica ao titular dos dados que foram efetuadas as verificações necessárias.

Sem prejuízo do n.^o 2, a autoridade de controlo referida no artigo 71.^o pode comunicar determinadas informações contextuais à pessoa em causa.

O Rei determina, após parecer da autoridade de controlo referida no artigo 71.^o, a categoria de informações contextuais que podem ser comunicadas à pessoa em causa por esta autoridade».

11. O órgão jurisdicional de reenvio refere que as «informações contextuais» que o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) pode comunicar ao titular dos dados ainda não foram especificadas no decreto real previsto no artigo 42.^o, quarto período, da LPD.

12. O artigo 71.^o da LPD dispõe:

«1. É criado junto da Chambre des représentants (Câmara dos Representantes) uma autoridade de controlo independente de informação policial, denominada Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial).

[…]

[Será] encarregada de: 1. fiscalizar a aplicação do presente título […].»

13. O título 5 da LPD abrange o capítulo I, intitulado «Ação inibitória». O artigo 209.^o, incluído neste capítulo, tem a seguinte redação:

«Sem prejuízo de outras vias de recurso judiciais, administrativas ou extrajudiciais, o presidente do tribunal de première instance (Tribunal de Primeira Instância), decidindo em sede de procedimento cautelar, pode verificar a existência de um tratamento que constitua violação das disposições legais ou regulamentares relativas à proteção das pessoas singulares quanto ao tratamento dos seus dados pessoais e ordenar a sua cessação.

O presidente do tribunal de première instance (Tribunal de Primeira Instância), decidindo em sede de procedimento cautelar, conhece dos pedidos relativos ao direito concedido por lei ou por força da lei de obter acesso a dados pessoais, bem como dos pedidos de retificação, supressão ou proibição de utilização de dados pessoais incorretos ou, tendo em conta o objetivo do tratamento, incompletos ou irrelevantes, ou cujo registo, comunicação ou conservação sejam proibidos e a cujo tratamento o titular de dados se opôs ou que foram conservados para além do período autorizado.»

14. O artigo 240.^o da LPD prevê que o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial):

«4. Trata das reclamações, investiga, quando necessário, o objeto da reclamação, e informa o autor da reclamação do andamento e do resultado da investigação num prazo razoável, nomeadamente quando for necessário uma investigação complementar ou cooperar com outra autoridade de controlo […].»

II. Factos, tramitação processual e questões prejudiciais

15. Em 2016, BA quis participar na montagem e na desmontagem das instalações da décima edição das «Jornadas Europeias do Desenvolvimento» em Bruxelas (Bélgica). Para o efeito, devia obter um «certificado de credenciação de segurança».

16. Por carta de 22 de junho de 2016, a Autorité nationale de sécurité (Autoridade Nacional de Segurança, Bélgica) recusou emitir o certificado de credenciação de segurança exigido. Declarou que, segundo as informações de que dispunha, a pessoa em causa tinha participado em dez manifestações entre 2007 e 2016, o que impedia a emissão do certificado. BA não impugnou a decisão da referida autoridade.

17. A LPD, que criou o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial), entrou em vigor em 5 de setembro de 2018.

18. Em 4 de fevereiro de 2020, o advogado de BA pediu ao Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) que identificasse os responsáveis pelo tratamento de dados em causa e que os ordenasse a conceder a BA o acesso a todas as informações que lhe diziam respeito.

19. Por mensagem de correio eletrónico de 6 de fevereiro de 2020, o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) indicou que BA dispunha apenas de um direito de acesso indireto e que tencionava verificar os seus dados pessoais para garantir a licitude do tratamento dos dados incluídos na Banque de données nationale générale (Banco Geral Nacional de Dados, «BNG»). O órgão declarou ter competência para ordenar à polícia que suprimisse ou modificasse dados, se necessário, e que, na sequência do referido controlo, BA seria informado de que «tinham sido efetuadas as verificações necessárias».

20. Em 22 de junho de 2020, o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) escreveu:

«[…], informo V. Ex.^a de que o Órgão de Controlo procedeu, nos termos do artigo 42.^o da [LPD] às verificações necessárias.

Isto significa que os dados pessoais do seu cliente foram verificados nos bancos de dados policiais com vista a garantir a licitude do tratamento.

Se necessário, os dados pessoais foram alterados ou suprimidos.

Conforme indicado na nossa mensagem de correio eletrónico de 2 de junho, o artigo 42.^o da LPD não permite ao Órgão de Controlo comunicar informações adicionais.»

21. Em 2 de setembro de 2020, BA e a Ligue des droits humains (Liga dos Direitos Humanos) intentaram uma ação contra o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) junto do presidente do tribunal de première instance francophone de Bruxelles (Tribunal de Primeira Instância de Língua Francesa de Bruxelas, Bélgica), com fundamento no artigo 209.^o, segundo período, da LPD. Pediram que a ação intentada contra a autoridade de controlo fosse julgada procedente. A título subsidiário, perguntaram ao referido tribunal se o artigo 42.^o da LPD é contrário aos artigos 47.^o, n.^o 4, e 17.^o, n.^o 3, da Diretiva 2016/680. A este respeito, BA e a Ligue des droits humains (Liga dos Direitos Humanos) alegaram que o artigo 42.^o da LPD não prevê a possibilidade de intentar ações judiciais contra as decisões adotadas pela autoridade de controlo independente nem exige que esta autoridade informe o titular dos dados do seu direito de intentar uma ação judicial.

22. No que respeita ao mérito da ação, os recorrentes pediram o acesso a todos os dados pessoais relativos a BA e que o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) fosse condenado a identificar os responsáveis pelo tratamento e as pessoas que poderiam ter recebido estes dados. A título subsidiário, pediram ao referido tribunal que apresentasse um pedido de decisão prejudicial ao Tribunal de Justiça para determinar, em substância, se o artigo 42.^o, n.^o 2, da LPD é compatível com os artigos 14.^o, 15.^o e 17.^o da Diretiva 2016/680, lidos à luz dos artigos 8.^o, 47.^o e 52.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»). Nesse contexto, alegaram que o artigo 42.^o, n.^o 2, da LPD prevê uma derrogação geral e sistemática do direito de acesso aos dados pessoais.

23. Por Despacho de 17 de maio de 2021, o tribunal de première instance francophone de Bruxelles (Tribunal de Primeira Instância de Língua Francesa de Bruxelas) declarou‑se incompetente para conhecer da ação intentada pelos recorrentes.

24. Por petição de 15 de junho de 2021, os recorrentes interpuseram recurso para a cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica). Reiteraram, em substância, as críticas ao artigo 42.^o, n.^o 2, da LPD e os pedidos apresentados em primeira instância.

25. O Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) pediu que fosse negado provimento ao recurso.

26. O órgão jurisdicional de reenvio refere que, ao abrigo do direito belga, os dados tratados pelas autoridades policiais estão sujeitos a um conjunto de regras específico. Nos termos do artigo 42.^o da LPD, todos os pedidos baseados em direitos relativos a esses dados pessoais devem ser apresentados ao Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial). Este órgão limita‑se a comunicar ao titular dos dados que «foram efetuadas as verificações necessárias».

27. O órgão jurisdicional de reenvio sublinha que o artigo 17.^o, n.^o 3, da Diretiva 2016/680 não foi corretamente transposto para o direito interno. Primeiro, porque o artigo 42.^o da LPD não exige que a autoridade de controlo informe o titular dos dados do seu direito de intentar uma ação judicial. Segundo, porque a LPD não prevê a possibilidade de intentar uma ação judicial contra o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial).

28. A este respeito, o órgão jurisdicional de reenvio refere, em primeiro lugar, que o mecanismo previsto no artigo 240.^o da LPD, que permite ao titular dos dados apresentar uma reclamação à autoridade de controlo, deve ser exercido contra o responsável pelo tratamento.

29. Em segundo lugar, a ação inibitória prevista nos artigos 209.^o e seguintes da LPD também não confere a BA o direito de intentar uma ação contra o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial). A este respeito, o órgão jurisdicional de reenvio indica que resulta das referidas disposições, primeiro, que a ação deve ser intentada contra o responsável pelo tratamento. Assim sendo, BA não pode intentar essa ação contra o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial). Segundo, o artigo 42.^o da LPD não permite que BA intente uma ação semelhante contra o responsável pelo tratamento, uma vez que o exercício dos seus direitos é confiado ao Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial). Terceiro, as informações particularmente sucintas que são fornecidas pelo Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial), nos termos do artigo 42.^o da LPD, não permitem a BA ou a um tribunal, em sede de controlo a posteriori, determinar se este órgão exerceu corretamente os direitos de BA.

30. Por último, embora a ação inibitória esteja prevista na LPD «sem prejuízo de outras vias judiciais, administrativas ou extrajudiciais» e não limite «a competência do Tribunal de Primeira Instância e do presidente do Tribunal de Primeira Instância responsável pelos procedimentos cautelares» (artigos 209.^o e 219.^o da LPD), o órgão jurisdicional de reenvio considera que se BA recorresse a outras vias encontraria os mesmos obstáculos.

31. Nestas circunstâncias, a cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Os artigos 47.^o e 8.^o, n.^o 3, da [Carta] impõem que se preveja a possibilidade de intentar uma ação judicial contra a autoridade de controlo independente, como o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial), quando esta exerce os direitos do titular dos dados relativamente ao responsável pelo tratamento?

2) O artigo 17.^o da Diretiva 2016/680 é compatível com os artigos 47.^o e 8.^o, n.^o 3, da [Carta], conforme interpretados pelo Tribunal de Justiça, na medida em que só obriga a autoridade de controlo — que exerce os direitos do titular dos dados perante o responsável pelo tratamento — a informar essa pessoa “de que procedeu a todas as verificações necessárias ou a um reexame” e “do seu direito de intentar ação judicial”, quando tal informação não permite um controlo a posteriori da ação e da apreciação da autoridade de controlo relativamente aos dados do respetivo titular e às obrigações que incumbem ao responsável pelo tratamento?»

32. Foram apresentadas observações escritas pelos recorrentes no processo principal, o Governo belga, a República Checa, a Comissão Europeia e o Parlamento Europeu. O Tribunal de Justiça convidou o Governo belga a responder a algumas perguntas por escrito, tendo este respondido em 13 de março de 2023. Os recorrentes e o recorrido no processo principal, o Governo francês, a Comissão Europeia e o Parlamento Europeu participaram na audiência de alegações de 29 de março de 2023.

III. Análise

Observações preliminares

33. As questões prejudiciais referem‑se, em substância, à fiscalização judicial da atuação de uma autoridade de controlo, bem como ao seu alcance e eficácia nos casos em que a autoridade exerce os direitos do titular dos dados por conta deste, ou seja, quando os direitos são exercidos indiretamente. O órgão jurisdicional de reenvio não questionou, enquanto tal, a estrutura do regime belga de acesso indireto dos titulares dos dados. Todavia, num sistema em que o acesso pelos titulares dos dados é, na prática, impossível ou excessivamente difícil, o direito à ação é inevitavelmente prejudicado. Por conseguinte, importa, a título preliminar, descrever sucintamente a estrutura dos direitos dos titulares dos dados ao abrigo da Diretiva 2016/680, antes de analisar a forma como o regime belga de acesso indireto se enquadra nessa estrutura.

a) Direitos dos titulares dos dados ao abrigo da Diretiva 2016/680 e limitações a estes direitos

34. O direito de acesso aos dados recolhidos e o direito de obter a sua retificação são componentes essenciais do direito à proteção de dados pessoais consagrado no artigo 8.^o, n.^o 2, da Carta. De um modo geral, o direito de acesso tem dois objetivos principais, a saber, «reforçar a transparência e facilitar o controlo»(9). Com efeito, conforme salientado pela doutrina, o direito de acesso reforça a transparência porque representa «um grau adicional, aprofundado e mais detalhado da informação que está ao alcance do titular dos dados» (10). O direito de acesso facilita o controlo, uma vez que constitui um requisito prévio para o exercício de outros direitos, nomeadamente do direito de retificação ou apagamento dos dados pessoais ou de intentar ação judicial (11).

35. Resulta do considerando 7 da Diretiva 2016/680 que a mesma visa alcançar uma proteção eficaz dos dados pessoais na União Europeia, o que exige não só que sejam reforçados os direitos dos titulares dos dados e as obrigações de quem trata dados pessoais, mas também que haja reforço dos poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados‑Membros. Trata‑se de um avanço significativo em relação ao regime anterior da Decisão‑Quadro 2008/977. O âmbito de aplicação desta decisão‑quadro limitava‑se ao tratamento de dados transfronteiriço. Além disso, refletia as «especificidades da estrutura de “pilares” da União anterior ao Tratado de Lisboa» (12) e deixava uma «ampla margem de manobra aos Estados‑Membros» (13). Em comparação com o regime anterior, o capítulo III da Diretiva 2016/680 prevê uma «nova arquitetura dos direitos dos titulares dos dados, assente no princípio de que estes dispõem de direitos de informação, acesso, retificação, apagamento ou limitação do tratamento, a menos que sejam restringidos» (14).

36. Mais especificamente, o artigo 13.^o da Diretiva 2016/680 prevê que os responsáveis pelo tratamento devem facultar determinadas informações aos titulares dos dados («direito à informação»). O artigo 14.^o estabelece que o titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento e, em caso afirmativo, acesso aos seus dados pessoais e a determinadas informações («direito de acesso»). O artigo 16.^o prevê que o titular dos dados tem o direito de obter do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito, bem como o direito de obter o apagamento dos dados pessoais ou, se for caso disso, a limitação do tratamento («direito de retificação, apagamento ou limitação do tratamento»). O titular dos dados pode, em princípio, exercer os seus direitos diretamente.

37. A Diretiva 2016/680 permite que os Estados‑Membros adotem medidas legislativas que limitem, total ou parcialmente, os direitos dos titulares dos dados, nas condições previstas no artigo 13.^o, n.^o 3, no artigo 15.^o e no artigo 16.^o, n.^o 4, da Diretiva 2016/680. Estas medidas são permitidas, em substância, «se e enquanto» constituírem «medida[s] necessária[s] e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa», para preservar uma finalidade específica de interesse público, nomeadamente, a de evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais, evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais, proteger a segurança pública, a segurança nacional ou proteger os direitos e as liberdades de terceiros. Os Estados‑Membros podem, em aplicação do artigo 13.^o, n.^o 4, e do artigo 15.^o, n.^o 2, da Diretiva 2016/680, adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por qualquer uma dessas finalidades.

38. Em caso de limitação do direito de acesso, o responsável pelo tratamento deve informar por escrito o titular dos dados, em conformidade com o artigo 15.^o, n.^o 3, da Diretiva 2016/680, sem demora injustificada, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Esta informação pode ser omitida caso a sua prestação possa prejudicar uma das finalidades enunciadas no artigo 15.^o, n.^o 1, da diretiva. O responsável pelo tratamento deve informar o titular dos dados do seu direito de apresentar reclamação à autoridade de controlo ou de intentar uma ação judicial. Além disso, nos termos do artigo 15.^o, n.^o 4, da Diretiva 2016/680, em caso de recusa ou limitação de direito de acesso, o responsável pelo tratamento deve detalhar os motivos de facto ou de direito em que a sua decisão se baseou e facultar essa informação às autoridades de controlo.

39. Decorre da estrutura dos direitos do titular dos dados estabelecida no capítulo III da Diretiva 2016/680 que a regra geral é a de que, no domínio da aplicação da lei, os titulares dos dados têm direitos relativos à proteção dos seus dados e podem exercê‑los diretamente. As limitações destes direitos constituem exceções. Segundo a jurisprudência constante, uma exceção à regra geral deve ser objeto de interpretação estrita (15). Além disso, existem limites quanto às restrições ao dever de fundamentar as restrições impostas e de informar o titular dos dados em conformidade. Esta informação só pode ser omitida a título excecional.

40. Esta articulação entre regra e exceção também se aplica à faculdade dos Estados‑Membros de determinar as «categorias de tratamento» que podem ser total ou parcialmente qualificadas de finalidades de interesse público, permitindo assim a limitação do exercício dos direitos dos titulares dos dados ao abrigo do artigo 13.^o, n.^o 3, ou do artigo 15.^o, n.^o 1, da Diretiva 2016/680. Conforme salientado, no essencial, pelo Grupo de Trabalho do Artigo 29.^o (16) no seu Parecer sobre a Diretiva 2016/680, a faculdade dos Estados‑Membros de determinar estas categorias de tratamento não admite «limitações generalizadas» aos direitos de informação e de acesso dos titulares dos dados (17). Tais limitações generalizadas levariam a que a exceção se sobrepusesse à regra, tornando em grande medida inaplicáveis as disposições que consagram os direitos dos titulares dos dados (18).

b) Exercício indireto dos direitos do titular dos dados

41. O direito do titular dos dados de contactar diretamente o responsável pelo tratamento para exercer os seus direitos é uma característica determinante da Diretiva 2016/680. Esta diretiva garante, «por uma questão de princípio», o exercício direto dos direitos pelos titulares dos dados (19). Estes gozam de um direito de acesso direto, exceto se for aplicável uma restrição. Estando em causa a aplicação de uma restrição e, por conseguinte, não podendo o direito de acesso ser exercido diretamente, o titular dos dados pode exercer os seus direitos indiretamente através da autoridade de controlo competente, em conformidade com o artigo 17.^o, n.^o 1, da Diretiva 2016/680.

42. Em linha com o Governo francês e a Comissão, e conforme salienta igualmente o Grupo de Trabalho do Artigo 29.^o no seu Parecer sobre a Diretiva 2016/680, o exercício indireto dos direitos através da autoridade competente constitui uma garantia adicional a favor dos titulares dos dados nas situações em que se aplicam limitações (20). O enquadramento do exercício indireto de direitos como uma garantia adicional representa um avanço significativo em relação ao paradigma anterior ao abrigo da Decisão‑Quadro 2008/977 (21). Com efeito, à luz desta decisão‑quadro, o acesso indireto estava em pé de igualdade com o acesso direto (22). Seria contrário ao objetivo de harmonização prosseguido pela Diretiva 2016/680 que, não obstante os avanços introduzidos pela diretiva na estrutura dos direitos dos titulares dos dados, os Estados‑Membros transformassem a possibilidade de acesso indireto não numa via adicional para os titulares dos dados, mas antes na única via à disposição dos mesmos.

c) O regime de exercício indireto previsto no artigo 42.^o da LPD

43. O artigo 17.^o da Diretiva 2016/680 foi transposto para o direito belga pelo artigo 42.^o da LPD. O artigo 42.^o da LPD enuncia, no seu primeiro período, que os titulares dos dados devem dirigir todos os pedidos de exercício dos seus direitos relativamente às autoridades policiais ao Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial). O segundo período do artigo 42.^o da LPD prevê que quando o responsável pelo tratamento restrinja ou recuse o acesso, a autoridade de controlo apenas comunica ao titular dos dados que foram efetuadas todas as verificações necessárias.

44. Parece‑me que o artigo 42.^o da LPD estabelece um regime que derroga o princípio segundo o qual os titulares dos dados exercem diretamente os seus direitos relativos a todos os dados tratados pelas autoridades policiais. Com efeito, atendendo ao âmbito extremamente vasto dos dados abrangidos pelo regime de derrogação, este último estabelece uma isenção geral ao direito de acesso direto. Conforme expliquei acima nas observações preliminares, uma isenção tão ampla e geral do direito de acesso direto poderá não ser compatível com a Diretiva 2016/680 (23). Como o Conseil d’État (Conselho de Estado, em formação jurisdicional, Bélgica) indicou, em substância, no seu parecer relativo ao projeto da LPD, passar de uma situação em que o interessado pode exercer indiretamente os seus direitos para uma situação em que o legislador pode impor o exercício indireto destes direitos é contrário ao artigo 17.^o da Diretiva 2016/680 (24).

45. A substituição do acesso direto pelo acesso indireto em aplicação do artigo 42.^o da LPD é ainda mais problemática quando considerada à luz dos poderes limitados do Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial). Questionado a este respeito na audiência, o representante da referida autoridade de controlo confirmou que, no contexto do exercício indireto dos direitos do titular dos dados, o Organe de contrôle de l’information policière (Órgão de Controlo da Informação Policial) apenas pode informar o titular dos dados de que foram efetuadas todas as verificações necessárias. Importa, no entanto, recordar que o regime de acesso indireto é a exceção, o que pressupõe que os direitos dos titulares dos dados sejam limitados em conformidade com os requisitos estabelecidos na Diretiva 2016/680. Em contrapartida, no sistema belga, o titular dos dados está obrigado a pedir à autoridade de controlo para exercer os seus direitos relativamente aos dados tratados pelas autoridades policiais. O titular dos dados não pode aceder aos dados que lhe dizem respeito e não pode obter mais do que uma confirmação de que foram efetuadas todas as verificações necessárias. O legislador nacional parece ter estabelecido um pressuposto, afastando‑se da Diretiva 2016/680, segundo o qual — no que respeita aos dados tratados pela polícia — os direitos dos titulares dos dados são sempre limitados e o acesso direto não é possível.

46. Tendo em conta as considerações que precedem, considero que o artigo 42.^o da LPD estabelece um regime de exercício indireto de direitos que é incompatível com o modo de exercício dos direitos dos titulares dos dados estabelecido na Diretiva 2016/680. As questões prejudiciais serão examinadas à luz desta consideração.

Primeira questão

47. Antes de mais, importa recordar que, de acordo com a jurisprudência constante, no âmbito do artigo 267.^o TFUE que prevê a cooperação entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, cabe a este dar ao juiz nacional uma resposta útil que lhe permita decidir o litígio que lhe foi submetido. Nesta ótica, incumbe ao Tribunal de Justiça, se necessário, reformular as questões que lhe são submetidas. Para o efeito, o Tribunal de Justiça pode extrair do conjunto dos elementos fornecidos pelo órgão jurisdicional nacional, designadamente da fundamentação da decisão de reenvio, os elementos do direito da União que necessitam de interpretação, tendo em conta o objeto do litígio no processo principal (25).

48. No caso em apreço, resulta claro da decisão de reenvio que, com a sua primeira questão, o órgão jurisdicional de reenvio pede a interpretação do artigo 17.^o da Diretiva 2016/680. Pergunta, em substância, se esta disposição, lida à luz do artigo 47.^o e do artigo 8.^o, n.^o 3, da Carta, deve ser interpretada no sentido de que exige que o titular dos dados tenha a possibilidade de intentar uma ação judicial contra a autoridade de controlo independente quando exerce os seus direitos através dessa autoridade.

49. A título preliminar, importa salientar que o órgão jurisdicional de reenvio formula esta questão por considerar que o direito belga não prevê o direito de intentar uma ação judicial contra uma autoridade de controlo quando esta exerce indiretamente os direitos do titular dos dados. A este respeito, indica, em primeiro lugar, que a referida disposição não foi corretamente transposta para o direito nacional, uma vez que o artigo 42.^o da LPD não prevê a obrigação da autoridade de controlo de informar o titular dos dados do seu direito de intentar uma ação judicial. Em segundo lugar, o órgão jurisdicional de reenvio considera que nenhuma outra disposição da LPD, nomeadamente os seus artigos 209.^o e seguintes e o artigo 240.^o, permite que o titular dos dados intente uma ação contra a autoridade de controlo em caso de exercício indireto dos seus direitos (26).

50. O Governo belga afirmou, nas suas observações escritas, que, independentemente da interpretação do artigo 209.^o, segundo período, da LPD, o sistema jurídico belga prevê uma fiscalização judicial efetiva em casos como o do processo principal. A este respeito, alega que as vias de recurso específicas da LPD não prejudicam a competência geral dos tribunais civis. Dito isto, o Governo belga tem razão ao salientar que, segundo jurisprudência constante, o Tribunal de Justiça apenas está habilitado a pronunciar‑se sobre a interpretação ou a validade de um diploma da União com base nos factos que lhe são indicados pelo órgão jurisdicional nacional. Em contrapartida, cabe exclusivamente ao órgão jurisdicional de reenvio interpretar a legislação nacional (27).

a) Vias de recurso ao alcance do titular dos dados

51. Para determinar se o titular dos dados tem o direito de intentar uma ação judicial contra a autoridade de controlo em caso de exercício indireto dos seus direitos, importa recordar que a Diretiva 2016/680 prevê, no seu capítulo VIII, diversas vias de recurso a favor dos titulares dos dados. Os titulares dos dados têm o direito de apresentar uma reclamação à autoridade de controlo nos termos do artigo 52.^o da Diretiva 2016/680. O artigo 53.^o, n.^o 1, da Diretiva 2016/680 prevê que os titulares dos dados devem ter o direito de intentar uma ação judicial contra qualquer decisão juridicamente vinculativa tomada por uma autoridade de controlo que lhes diga respeito. O artigo 53.^o, n.^o 2, prevê que todos os titulares dos dados têm o direito de intentar uma ação judicial se a autoridade de controlo não atender à reclamação ou não informar o titular dos dados, no prazo de três meses, do andamento ou do resultado da reclamação. Além disso, os titulares dos dados têm o direito de intentar uma ação judicial contra o responsável pelo tratamento ou o subcontratante, sempre que considerem que os seus direitos foram violados em resultado do tratamento ilícito dos seus dados pessoais. Todas estas disposições preveem que cada uma destas vias de recurso pode ser utilizada «sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial».

52. No que diz respeito ao direito de intentar uma ação judicial contra a autoridade de controlo, o considerando 86 da Diretiva 2016/680 refere que este direito pode ser exercido contra «as decisões das autoridades de controlo que produzam efeitos jurídicos que lhes digam respeito». O mesmo considerando refere que tais decisões se prendem, especialmente, com o exercício de poderes de investigação, correção e autorização pelas autoridades de controlo ou com a recusa ou rejeição de reclamações, mas que o direito de intentar uma ação judicial não abrange «outras medidas das autoridades de controlo que não sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado pela autoridade de controlo».

53. Resulta do artigo 53.^o, n.^o 1, da Diretiva 2016/680, lido à luz do seu considerando 86, que o titular dos dados tem o direito de impugnar uma decisão ou uma medida de uma autoridade de controlo que produza efeitos jurídicos vinculativos.

54. A este respeito, importa recordar que o direito a uma proteção jurisdicional efetiva, consagrado no artigo 47.^o da Carta, deve ser reconhecido a qualquer pessoa que invoque direitos ou liberdades garantidos pelo direito da União contra uma decisão lesiva, suscetível de violar esses direitos ou liberdades (28).

55. Em seguida, há que salientar que o conceito de ato que causa prejuízo a uma pessoa abrange «os atos ou as medidas que produzem efeitos jurídicos vinculativos suscetíveis de afetar direta e imediatamente os interesses do recorrente, modificando de forma caracterizada a sua situação jurídica» (29). A este respeito, importa atender à substância desse ato e apreciar esses efeitos em função de critérios objetivos, tais como o conteúdo do referido ato, tendo em conta, se for caso disso, o contexto da adoção deste último, bem como os poderes da instituição que dele é autora (30).

b) Os poderes da autoridade de controlo no contexto do exercício indireto dos direitos

56. Tendo em conta os elementos que caracterizam um ato que causa prejuízo a uma pessoa, para determinar se uma autoridade de controlo adota uma decisão juridicamente vinculativa quando exerce indiretamente os direitos do titular dos dados, em conformidade com o artigo 17.^o da Diretiva 2016/680, é necessário examinar o conteúdo ou a substância do ato da autoridade de controlo, atendendo ao contexto do ato e aos poderes desta autoridade.

57. No que diz respeito, em primeiro lugar, à substância do ato da autoridade de controlo, importa esclarecer, desde logo, que a capacidade de um ato produzir diretamente efeitos na situação jurídica de uma pessoa singular ou coletiva não pode ser apreciada tendo unicamente em conta o facto de esse ato revestir a forma de um correio eletrónico (como no processo principal), na medida em que tal equivaleria a fazer prevalecer a forma do ato objeto do recurso sobre a própria substância do referido ato (31).

58. O artigo 17.^o, n.^o 1, da Diretiva 2016/680 prevê a possibilidade de os direitos do titular dos dados serem exercidos «através» da autoridade de controlo competente. O considerando 48 desta diretiva indica que a autoridade de controlo age «em nome» do titular dos dados. Nos termos do artigo 17.^o, n.^o 3, da referida diretiva, a autoridade de controlo deve «informa[r]», pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame.

59. O Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) alega que decorre da redação das referidas disposições que a autoridade de controlo se limita a atuar na qualidade de mandatária do titular dos dados e de mensageira que se limita a fornecer informações ao titular dos dados. Por conseguinte, não se pode considerar que os atos adotados pela autoridade produzam efeitos jurídicos vinculativos em relação ao titular dos dados. O Governo checo apresenta um argumento semelhante.

60. Não deixo de concordar que a redação utilizada a respeito do exercício dos direitos do titular dos dados «através» da autoridade de controlo ou à atuação da autoridade de controlo «em nome» do titular dos dados pode, por si só, ser interpretada como uma indicação de que a autoridade de controlo dispõe de um mandato apenas para fornecer informações.

61. No entanto, considero que uma análise do contexto do ato e dos poderes da autoridade de controlo não permite corroborar a teoria de que existe um simples mandato. Com efeito, no âmbito do exercício indireto dos direitos do titular dos dados, o papel da autoridade de controlo vai além de uma atuação semelhante à de um «mandatário» do titular dos dados, como um «mensageiro» ou um intermediário. Conforme demonstrarei, o legislador da União atribuiu, pelo contrário, à autoridade de controlo um papel preponderante e ativo na verificação da licitude do tratamento de dados, que só uma autoridade pública pode desempenhar.

62. Mais concretamente, como a Comissão e o Governo belga alegaram, o artigo 17.^o da Diretiva 2016/680 deve ser lido em conjugação com as disposições do capítulo VI, secção 2, desta diretiva, que estabelece as regras relativas à competência, atribuições e aos poderes das autoridades de controlo independentes. O artigo 46.^o, n.^o 1, alínea g), da referida diretiva prevê que a autoridade de controlo «verifique a licitude do tratamento nos termos do artigo 17.^o e, num prazo razoável, informe o respetivo titular do resultado da verificação, conforme previsto no n.^o 3 desse artigo, ou dos motivos que impediram a sua realização».

63. O Governo belga salientou corretamente, na sua resposta a uma pergunta escrita do Tribunal de Justiça, que a tarefa específica de verificar a licitude do tratamento demonstra que o papel da autoridade de controlo não se limita a atuar como um simples «mensageiro» entre o titular dos dados e o responsável pelo tratamento. Pelo contrário, a referida autoridade faz uma análise jurídica própria da licitude do tratamento.

64. Além disso, para exercer a sua função de controlo independente da licitude do tratamento, cada autoridade de controlo dispõe de determinados poderes de execução, em conformidade com o artigo 47.^o da Diretiva 2016/680. Tais poderes são «poderes de investigação efetivos» que incluem, pelo menos, o «poder de obter do responsável pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de tratamento» e também poderes «de correção», incluindo o poder de ordenar a retificação ou apagamento dos dados pessoais ou a limitação do tratamento. Além disso, de acordo com o artigo 47.^o, n.^o 5, as autoridades de controlo têm o poder de instaurar processos judiciais para garantir a aplicação das disposições adotadas por força da Diretiva 2016/680. Concordo com a Comissão, que salientou, a este respeito, que a autoridade de controlo só pode exercer esses poderes por conta própria enquanto autoridade pública e não como simples mandatária ou em nome do titular dos dados.

65. Quando a autoridade de controlo informa o titular dos dados do resultado da verificação que efetuou ao abrigo do artigo 17.^o, n.^o 3, e do artigo 46.^o, n.^o 1, alínea g), da Diretiva 2016/680, chegou necessariamente ao fim de um processo decisório sobre a licitude do tratamento. A posição jurídica do titular dos dados é, por isso, afetada i) pelo facto de a autoridade de controlo ter executado corretamente a missão que lhe é incumbida de «verificar a licitude do tratamento nos termos do artigo 17.^o», e ii) pela conclusão a que essa autoridade chegou na sequência desse processo.

66. O reconhecimento de que autoridade de controlo tem um papel autónomo em conformidade com o artigo 17.^o da Diretiva 2016/680, por oposição ao papel de um simples intermediário, é corroborado pela interpretação da diretiva à luz da Carta. O artigo 8.^o, n.^o 3, da Carta confia a uma autoridade independente a fiscalização do cumprimento das regras de proteção dos dados e, mais especificamente, do direito de acesso aos dados. O papel das autoridades responsáveis pela proteção de dados reveste um significado fundamental por ser referido na Carta. O papel de controlo e de fiscalização da aplicação da Diretiva 2016/680 incumbe à autoridade de controlo. A interpretação segundo a qual esta autoridade intervém em separado do titular dos dados quando exerce indiretamente os direitos deste confirma o papel fundamental da autoridade de controlo.

67. Além disso, se admitíssemos que a autoridade de controlo atua de forma semelhante ao de um «mandatário» do titular dos dados, isso levaria a que a autoridade estivesse obrigada a prestar contas ao titular dos dados como seu mandante. Todavia, o Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) alega que não tem o poder de fornecer informações adicionais ao titular dos dados. Esta abordagem conduz, assim, a uma situação peculiar em que o mandatário tem mais informações do que o seu mandante.

68. Na audiência, o Governo francês alegou, em substância, que, ao contrário da situação em que a autoridade de controlo trata de reclamações, em conformidade com o artigo 46.^o, n.^o 1, alínea f), da Diretiva 2016/680, esta autoridade não tem poderes contra o responsável pelo tratamento, ao abrigo do artigo 46.^o, n.^o 1, alínea g). Segundo o Governo francês, uma vez que o titular dos dados não dispõe de poderes contra o responsável pelo tratamento quando exerce diretamente os seus direitos, não pode dispor destes poderes quando exerce indiretamente os direitos através da autoridade de controlo. O Governo francês sustentou que o artigo 47.^o da Diretiva 2016/680 diz apenas respeito aos poderes exercidos pela autoridade de controlo por conta própria, mas não às competências que exerce em nome do titular dos dados.

69. A posição do Governo francês assenta, em substância, na tese de que a autoridade de controlo intervém apenas como intermediária do titular dos dados. Tendo em conta as razões acima expostas, não concordo com uma interpretação tão redutora do papel da autoridade de controlo. O exercício indireto dos direitos do titular dos dados deve ter um valor acrescentado, constituindo uma garantia adicional e uma salvaguarda para o titular dos dados. Se a autoridade se limitasse a confirmar, em todos os casos, que as verificações necessárias foram efetuadas sem poder exercer os seus poderes, o seu papel na verificação da licitude do tratamento teria um valor acrescentado limitado.

70. Nesse contexto, o artigo 17.^o da Diretiva 2016/680 prevê que a autoridade de controlo deve informar o titular dos dados «pelo menos» de que procedeu a todas as verificações necessárias. Isto significa que pode haver casos em que a autoridade de controlo pode ou deve ir além dessas informações mínimas. Esta interpretação é corroborada pelo artigo 46.^o, n.^o 1, alínea g), da Diretiva 2016/680, que incumbe a autoridade de controlo de verificar a licitude do tratamento nos termos do artigo 17.^o da Diretiva 2016/680 e de informar o titular dos dados do resultado da verificação conforme previsto no n.^o 3 desse artigo. O «resultado da verificação» inclui, mas nem sempre se limita, a fornecer as informações mínimas.

71. Como a Comissão salientou, o artigo 17.^o da Diretiva 2016/680 confere um poder discricionário à autoridade de controlo. Não confere aos Estados‑Membros o poder discricionário de reduzir o papel da autoridade ao de uma mensageira ou de suprimir totalmente a margem de apreciação desta autoridade, ao prever que esta deve fornecer apenas as informações mínimas. Com efeito, se um Estado‑Membro pudesse contornar a Diretiva 2016/680 e conferir menos poderes às autoridades de controlo, tal prejudicaria seriamente o objetivo de reforçar os direitos dos titulares dos dados e de harmonizar os poderes de controlo e de garantia do cumprimento das regras de proteção dos dados nos Estados‑Membros. Além disso, prejudicaria o objetivo de reforço da transparência e do controlo prosseguido pela diretiva.

72. Na audiência, o Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) mostrou reservas quanto ao reconhecimento de um papel que vai além do simples exercício de um mandato por conta do titular dos dados. Alegou que, no âmbito do artigo 17.^o da Diretiva 2016/680, a autoridade de controlo não pode decidir se um ato do responsável pelo tratamento é oportuno e não pode ponderar os interesses envolvidos na comunicação das informações relevantes. Esta autoridade alegou ainda que, se assim não fosse, seria obrigada a substituir o responsável pelo tratamento, o que seria contrário à sua independência.

73. A este respeito, o poder discricionário da autoridade de controlo ao abrigo do artigo 17.^o da Diretiva 2016/680 não deve ser entendido como o poder de substituir o responsável pelo tratamento e de conceder acesso automático às informações que este recusou divulgar. Em razão da sua independência, a autoridade de controlo estabelece um diálogo confidencial com o responsável pelo tratamento a fim de verificar a licitude do tratamento. Como a Comissão alegou, em substância, este diálogo pode ser deduzido da obrigação do responsável pelo tratamento, prevista no artigo 15.^o, n.^o 4, da Diretiva 2016/680, de facultar os motivos de facto ou de direito em que baseou a sua decisão de limitar o direito de acesso.

74. No âmbito desse diálogo, se a autoridade de controlo considerar que as limitações aos direitos do titular dos dados não se justificam, deve dar ao responsável pelo tratamento a possibilidade de corrigir a situação. Na sequência do diálogo, o artigo 17.^o, n.^o 3, confere à autoridade de controlo uma margem de apreciação quanto ao grau de informação que pode divulgar ao titular dos dados relativamente ao resultado da sua verificação. A definição do alcance das informações que pode divulgar deve ser apreciada caso a caso, de acordo com o princípio da proporcionalidade. Além disso, a autoridade de controlo deve poder assegurar o cumprimento das regras da Diretiva 2016/680 e exercer os poderes previstos no seu artigo 47.^o. Esta disposição não prevê nenhuma limitação quando os referidos poderes são exercidos no âmbito do artigo 17.^o da diretiva. Pelo contrário, os poderes efetivos da autoridade de controlo constituem um contrapeso necessário e importante da limitação do direito de acesso do titular dos dados.

c) Hierarquia das vias de recurso

75. Por último, o Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) e o Governo checo apresentaram um argumento relativo à hierarquia das vias de recurso. Sustentam, em substância, que, no âmbito do exercício indireto dos direitos através da autoridade de controlo, o direito de intentar uma ação judicial deve ser exercido contra o responsável pelo tratamento, em conformidade com o artigo 54.^o da Diretiva 2016/680, e não contra a autoridade de controlo, a menos que esta última se abstenha de atuar.

76. A este respeito, importa salientar que não decorre de nenhuma das disposições da Diretiva 2016/680 que as vias de recurso aí previstas se excluam mutuamente. Pelo contrário, resulta da redação dos artigos 52.^o, 53.^o e 54.^o, da Diretiva 2016/680 acima referidos (32) que estas disposições oferecem diferentes vias de recurso às pessoas que invocam a violação da diretiva, entendendo‑se que cada uma dessas vias deve poder ser exercida «sem prejuízo» das outras (33). Importa recordar que, no que diz respeito à relação entre as vias de recurso previstas no Regulamento (UE) 2016/679 (34), o Tribunal de Justiça declarou no Acórdão Nemzeti que este regulamento «não prevê uma competência prioritária ou exclusiva nem nenhuma regra de primado da apreciação efetuada pela referida autoridade ou pelos órgãos jurisdicionais que aí são referidos quanto à existência de uma violação dos direitos conferidos por este regulamento» (35).

77. Contrariamente à posição do Governo francês e do Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial), considero que o raciocínio do Acórdão Nemzeti é aplicável, por analogia, às vias de recurso previstas na Diretiva 2016/680. Em primeiro lugar, as vias de recurso que são disponibilizadas ao titular dos dados contra a autoridade de controlo e o responsável pelo tratamento ao abrigo do Regulamento 2016/679 e da Diretiva 2016/680 são semelhantes. Em segundo lugar, o considerando 7 da Diretiva 2016/680 enuncia que a proteção eficaz dos dados pessoais na União exige que sejam reforçados os direitos dos titulares dos dados (36). A disponibilização de várias vias de recurso reforça o objetivo, igualmente enunciado no considerando 85 da Diretiva 2016/680, de garantir o direito de intentar uma ação judicial, em linha com o artigo 47.^o da Carta, relativamente a todos os titulares dos direitos que considerem lesados quanto aos direitos que lhes são conferidos por disposições adotadas por força da referida diretiva.

78. Importa também salientar que a via de recurso contra a autoridade de controlo e a via de recurso contra o responsável pelo tratamento têm objetivos diferentes. Por um lado, como a Comissão observou corretamente, o objetivo de intentar uma ação contra a decisão do responsável pelo tratamento de limitar os direitos do titular dos dados consiste em obter um controlo judicial para determinar se o artigo 13.^o, n.^o 3, o artigo 15.^o, n.^o 3, e o artigo 16.^o, n.^o 4, da Diretiva 2016/680 foram aplicados corretamente. Por outro lado, o objetivo de intentar uma ação contra a autoridade de controlo consiste em obter um controlo judicial para determinar se o artigo 17.^o e o artigo 46.^o, n.^o 1, alínea g), da Diretiva 2016/680 foram aplicados corretamente, o que implica considerar se a autoridade de controlo realizou corretamente a sua tarefa de verificar a licitude do tratamento.

79. Importa igualmente observar que o sistema de proteção judicial seria incoerente e incompleto se o titular dos dados pudesse apenas contestar a inércia da autoridade de controlo, ao passo que as suas ações e a forma como a autoridade cumpriu as suas obrigações estariam excluídas do controlo judicial.

80. Em todo o caso, atendendo às circunstâncias do processo principal, não parece ser possível intentar uma ação contra o responsável pelo tratamento. Resulta da decisão de reenvio que os titulares dos dados não podem intentar uma ação contra o responsável pelo tratamento, uma vez que o exercício da totalidade dos seus direitos é confiado ao Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial). A Ligue des droits humains (Liga dos Direitos Humanos) alegou, além disso, que, no sistema belga das bases de dados policiais, é muito difícil para o titular dos dados inclusive identificar o responsável pelo tratamento. Assim sendo, o titular dos dados corre o risco de ser completamente privado de uma proteção judicial efetiva, uma vez que não sabe quem é o responsável pelo tratamento e, mesmo que soubesse, não teria o direito de o interpelar diretamente. Além disso, não pode impugnar os atos do Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial). Parece‑me que o titular dos dados é confrontado com um sistema em que «todas as portas estão fechadas», o que é contrário à Diretiva 2016/680.

81. Tendo em conta o que precede, considero que o artigo 17.^o da Diretiva 2016/680, lido em conjugação com o artigo 46.^o, n.^o 1, alínea g), desta diretiva e à luz do artigo 47.^o e do artigo 8.^o, n.^o 3, da Carta, deve ser interpretado no sentido de que exige que o titular dos dados tenha a possibilidade de intentar uma ação judicial contra uma autoridade de controlo independente quando exerce os seus direitos através dessa autoridade, desde que a ação tenha por objeto o controlo da licitude do tratamento exercido pela autoridade de controlo.

Segunda questão

82. Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.^o da Diretiva 2016/680 é compatível com o artigo 8.^o, n.^o 3, e com o artigo 47.^o da Carta, uma vez que só obriga a autoridade de controlo a informar o titular dos dados i) «de que procedeu a todas as verificações necessárias ou a um reexame» e ii) «do seu direito de intentar ação judicial», embora esta informação não permita exercer um controlo a posteriori da ação e da apreciação da autoridade de controlo relativamente aos dados do respetivo titular e às obrigações que incumbem ao responsável pelo tratamento.

83. A título preliminar, importa recordar que, segundo um princípio geral de interpretação, um ato da União deve ser interpretado, tanto quanto possível, de uma forma que não ponha em causa a sua validade e em conformidade com o direito primário no seu conjunto, nomeadamente com as disposições da Carta. Assim, quando um diploma de direito derivado da União é suscetível de mais do que uma interpretação, há que dar preferência àquela que torna a disposição conforme com o direito primário em vez da que leva a declarar a sua incompatibilidade com este (37).

84. Conforme expliquei nas observações preliminares e na análise da primeira questão, o artigo 17.^o da Diretiva 2016/680 prevê que o exercício indireto dos direitos do titular dos dados é possível através da autoridade de controlo competente quando os direitos do titular dos dados são limitados nos termos do artigo 13.^o, n.^o 3, do artigo 15.^o, n.^o 3, e do artigo 16.^o, n.^o 4, da Diretiva 2016/680. As limitações dos direitos do titular dos dados só são permitidas se constituírem uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos da pessoa singular em causa, a fim de salvaguardar uma finalidade de interesse público específica prevista nas referidas disposições.

85. A questão que se coloca é a de saber em que medida o conteúdo das informações fornecidas pela autoridade de controlo que exerce indiretamente os direitos do titular dos dados permite que este exerça o seu direito a uma proteção jurisdicional efetiva ao abrigo do artigo 47.^o, n.^o 1, da Carta.

86. A este respeito, já foi recordado no contexto da análise da primeira questão que o direito a uma proteção jurisdicional efetiva, consagrado no artigo 47.^o da Carta, deve ser reconhecido a qualquer pessoa que invoque direitos ou liberdades garantidos pelo direito da União contra uma decisão lesiva, suscetível de violar esses direitos ou liberdades (38).

87. No entanto, há que ter em conta que o direito a uma proteção jurisdicional efetiva não constitui uma prerrogativa absoluta e que, em conformidade com o artigo 52.^o, n.^o 1, da Carta, podem ser introduzidas restrições, desde que, em primeiro lugar, essas restrições sejam previstas por lei; em segundo lugar, respeitem o conteúdo essencial dos direitos e liberdades em causa; e, em terceiro lugar, que, na observância do princípio da proporcionalidade, sejam necessárias e correspondam efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros (39).

88. No âmbito do exercício indireto dos direitos através da autoridade de controlo, importa salientar que a possibilidade do exercício indireto é desencadeada pela limitação dos direitos do titular dos dados. A autoridade de controlo está incumbida de intervir quando, a título excecional, um direito é limitado, incluindo quando, dependendo das circunstâncias, o responsável pelo tratamento omite informações sobre os motivos da limitação (40). Conforme expliquei em detalhe na análise da primeira questão, ao exercer essa função, o papel da autoridade de controlo não consiste em atuar como simples «mensageiro», mas antes em garantir a licitude do tratamento.

89. O grau de informação que a autoridade de controlo pode divulgar ao titular dos dados depende necessariamente dos motivos que desencadearam a limitação do direito. Quanto mais graves forem os motivos da limitação e, eventualmente, da omissão de informações, menor será a quantidade de informações que a autoridade de controlo poderá fornecer. Contrariamente ao pressuposto em que assenta a formulação da questão prejudicial, não decorre do artigo 17.^o, n.^o 3, da Diretiva 2016/680 que a autoridade de controlo possa «apenas» e em todas as circunstâncias confirmar que procedeu a todas as verificações necessárias. Pelo contrário, de acordo com a referida disposição, a autoridade de controlo declara «pelo menos» que procedeu a todas as verificações necessárias ou a um reexame.

90. Daqui resulta que as informações a fornecer pela autoridade de controlo não podem ser predeterminadas. Por outras palavras, o conteúdo mínimo previsto no artigo 17.^o, n.^o 3, não é o único conteúdo possível. Conforme a Comissão salientou, o grau de informação deve ser determinado caso a caso e pode variar em função das circunstâncias e da ponderação dos interesses em causa à luz do princípio da proporcionalidade. A título ilustrativo, como observa corretamente a doutrina (41), parece aceitável que a autoridade de controlo comunique ao titular dos dados que o seu nome consta de uma base de dados da polícia por causa de um erro ortográfico.

91. Importa observar que a Proposta da Comissão de uma Diretiva relativa à Proteção de Dados na Aplicação da Lei previa que as autoridades de controlo, além das informações mínimas, deviam informar o titular dos dados «do resultado quanto à licitude do tratamento em causa» (42). Este último elemento de informação (ou seja, o resultado quanto à licitude do tratamento) não foi incluído no artigo 17.^o da Diretiva 2016/680. No entanto, isto não significa que possam ser toleradas potenciais violações das regras de proteção de dados. No contexto da minha análise da primeira questão, salientei que a autoridade de controlo mantém um diálogo confidencial com o responsável pelo tratamento. Se a autoridade de controlo considerar que o tratamento é ilícito, dá ao responsável pelo tratamento a possibilidade de corrigir a situação. Contudo, se a situação não for corrigida, a autoridade de controlo tem poderes para garantir a aplicação da lei em conformidade com o artigo 47.^o da Diretiva 2016/680, que devem ser exercidos. Nesse caso, não é suficiente, a meu ver, que a autoridade de controlo informe o parlamento nacional, conforme sugerido pelo Organe de contrôle de l'information policière (Órgão de Controlo da Informação Policial) na audiência. A autoridade de controlo deve exercer o poder de denunciar as violações das regras de proteção de dados às autoridades judiciais e, consoante o caso, de instaurar ou intervir em processos judiciais, em conformidade com o artigo 47.^o, n.^o 5, da Diretiva 2016/680.

92. A interpretação segundo a qual a autoridade de controlo dispõe de uma margem de apreciação quando exerce indiretamente os direitos do titular dos dados também é corroborada pela importância fundamental do papel das autoridades de controlo independentes, consagrada no artigo 8.^o, n.^o 3, da Carta.

93. Contudo, pode haver casos em que a autoridade de controlo entende que não pode divulgar mais do que as informações mínimas, nomeadamente que procedeu a todas as verificações necessárias. Nesses casos, o exercício do controlo judicial seria impossível, a menos que o tribunal incumbido de fiscalizar a decisão da autoridade de controlo possa examinar todos os fundamentos em que se baseia a referida decisão, bem como a decisão do responsável pelo tratamento de limitar o acesso.

94. A este respeito, importa sublinhar, em primeiro lugar, que o artigo 15.^o, n.^o 4, da Diretiva 2016/680 prevê que o responsável pelo tratamento deve detalhar os motivos de facto ou de direito em que a decisão relativa à limitação do direito de acesso se baseou e facultar essa informação às autoridades de controlo. Como referiu o Parlamento Europeu, há que aceitar que, se a informação está à disposição da autoridade de controlo, também deve ser disponibilizada à autoridade judicial junto da qual o titular dos dados exerce o seu direito de pedir o controlo da decisão do responsável pelo tratamento e/ou da decisão da autoridade de controlo.

95. Em segundo lugar, nos casos excecionais em que o responsável pelo tratamento não fornece informações sobre os motivos de recusa ou de limitação dos direitos do titular dos dados e a autoridade de controlo faculta apenas as informações mínimas, isto é, que foram efetuadas todas as verificações necessárias, o tribunal competente do Estado‑Membro em causa deve ter à sua disposição e utilizar técnicas e regras de direito processual que permitam conciliar, por um lado, as considerações legítimas da segurança do Estado, quanto à natureza e às fontes das informações que foram tomadas em consideração para a adoção dessa decisão, e, por outro, a necessidade de garantir de forma suficiente ao interessado o respeito dos seus direitos processuais, como o direito a ser ouvido e o princípio do contraditório (43).

96. Para o efeito, em conformidade com a jurisprudência que resulta do Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363 (a seguir «Acórdão ZZ»), os Estados‑Membros devem prever, por um lado, uma fiscalização judicial efetiva tanto da existência e do mérito das razões invocadas pela autoridade nacional bem como, por outro, das técnicas e regras relativas a essa fiscalização, conforme referido no número anterior das presentes conclusões (44).

97. Na audiência, o Governo francês alegou que o contexto do Acórdão ZZ era diferente do contexto do processo principal, uma vez que o Acórdão ZZ dizia respeito ao controlo judicial de uma decisão de recusa de admissão de um cidadão da União Europeia num Estado‑Membro por razões de segurança pública. A este respeito, há que salientar que o raciocínio do Tribunal de Justiça na jurisprudência posterior ao Acórdão ZZ, baseado no Acórdão Kadi (45), assenta na necessidade de encontrar um equilíbrio adequado entre as exigências que decorrem da segurança do Estado e as exigências do direito a uma proteção jurisdicional efetiva. Quando questionado na audiência, o representante do Governo francês reconheceu que decorre, em substância, da jurisprudência supramencionada que não existe sigilo perante o juiz. Considero, por conseguinte, que a referida jurisprudência também se deve aplicar, por analogia, no contexto da Diretiva 2016/680, quando as autoridades competentes considerarem que existem razões de segurança nacional ou outros motivos de interesse público suscetíveis de justificar a limitação dos direitos do titular dos dados que impedem a divulgação detalhada e completa dos motivos da decisão de aplicar uma limitação.

98. Decorre do que precede que o artigo 17.^o da Diretiva 2016/680 é compatível com o artigo 8.^o, n.^o 3, e com o artigo 47.^o da Carta, desde que, em primeiro lugar, a autoridade de controlo possa, dependendo das circunstâncias, ir além da mera declaração de que procedeu a todas as verificações necessárias, e que, em segundo lugar, o titular dos dados possa pedir o controlo judicial das medidas adotadas e da apreciação da autoridade de controlo relativamente aos dados do respetivo titular e às obrigações que incumbem ao responsável pelo tratamento.

99. Face ao exposto, a validade do artigo 17.^o da Diretiva 2016/680 não é posta em causa.

III. Conclusão

100. Tendo em conta o que precede, sugiro ao Tribunal de Justiça que responda à cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica) do seguinte modo:

1) O artigo 17.^o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho, lido em conjugação com o artigo 46.^o, n.^o 1, alínea g), desta diretiva e à luz do artigo 47.^o e do artigo 8.^o, n.^o 3, da Carta dos Direitos Fundamentais da União Europeia,

deve ser interpretado no sentido de que exige que o titular dos dados tenha a possibilidade de intentar uma ação judicial contra uma autoridade de controlo independente quando exerce os seus direitos através dessa autoridade, desde que a ação tenha por objeto o controlo da licitude do tratamento exercido pela autoridade de controlo.

2) A validade do artigo 17.^o da Diretiva 2016/680 não é posta em causa.

1 Língua original: inglês.

2 Diretiva do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).

3 Considerando 10 da Diretiva 2016/680.

4 Considerando 2 da Diretiva 2016/680.

5 Considerando 4 da Diretiva 2016/680.

6 Brewczyńska, M., «A critical reflection on the material scope of the application of the Law Enforcement Directive and its boundaries with the General Data Protection Law» in Kosta, E., Leenes, R., e Kamara, I., Research Handbook on EU data protection law, Edward Elgar, 2022, p. 105.

7 Decisão‑Quadro, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO 2008, L 350, p. 60).

8 Vogiatzoglou, P. e Marquenie, T., Assessment of the Implementation of the Law Enforcement Directive (Avaliação da aplicação da Diretiva Proteção de Dados na Aplicação da Lei), estudo solicitado pela Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos (LIBE), Parlamento Europeu, Departamento Temático dos Direitos dos Cidadãos e dos Assuntos Constitucionais, novembro de 2022 (a seguir «Assessment of the Implementation of the Law Enforcement Directive»), p. 54.

9 Zanfir‑Fortuna, G., «Article 15. Right of access by the data subject», in Kuner, C, Bygrave, L. e Docksey, C., The EU General Data Protection Regulation (GDPR), A Commentary, Oxford University Press, 2020, p. 452.

10 Ibid.

11 Kranenborg, H., «Article 8 — Protection of personal data», in Peers, S. et al., The EU Charter of Fundamental Rights, A Commentary, Hart Publishing, 2021, p. 272, § 08.171. V. Acórdãos de 7 de maio de 2009, Rijkeboer, C‑553/07, EU:C:2009:293, n.^os 51 e 52, e de 20 de dezembro de 2017, Nowak, C‑434/16, EU:C:2017:994, n.^o 57.

12 Commission Staff Working Paper, Executive Summary of the Impact Assessment (Documento de trabalho dos serviços da Comissão, Resumo da avaliação de impacto), 25.1.2012, SEC(2012) 73 final, p. 3.

13 Proposta da Comissão Europeia de Diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados, COM/2012/010 final, de 25.1.2012 (a seguir «Proposta da Comissão de uma Diretiva relativa à Proteção de Dados na Aplicação da Lei»), p. 2.

14 Grupo de Trabalho do Artigo 29.^o para a Proteção de Dados, Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) (Parecer sobre algumas questões importantes da Diretiva relativa à proteção de dados na aplicação da lei), de 29 de novembro de 2017, 17/PT WP 258 (a seguir «Parecer do Grupo de Trabalho do Artigo 29.^o sobre a Diretiva 2016/680»), p. 24 (o sublinhado é meu).

15 Acórdão de 2 de março de 2023, Eurocostruzioni, C‑31/21, EU:C:2023:136, n.^o 53 e jurisprudência referida.

16 O Grupo de Trabalho do Artigo 29.^o foi instituído ao abrigo do artigo 29.^o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31) como um órgão consultivo europeu independente em matéria de proteção de dados e privacidade. Foi extinto em 25 de maio de 2018 e substituído pelo Comité Europeu para a Proteção de Dados (CEPD).

17 Parecer do Grupo de Trabalho do Artigo 29.^o sobre a Diretiva 2016/680, op. cit., nota de rodapé n.^o 14, pp. 18 e 24.

18 V., neste sentido, Acórdão de 20 de setembro de 2022, SpaceNet e Telekom Deutschland, C‑793/19 e C‑794/19, EU:C:2022:702, n.^o 57 e jurisprudência referida.

19 Parecer 6/2015 da Autoridade Europeia para a Proteção de dados, A further step towards comprehensive EU data protection, EDPS recommendations on the Directive for data protection in the police and justice sectors (Um passo adicional para uma proteção de dados global na União, recomendações da AEPD sobre a Diretiva relativa à proteção de dados nos setores da polícia e da justiça), 28 de outubro de 2015, p. 7.

20 V. Parecer do Grupo de Trabalho do Artigo 29.^o sobre a Diretiva 2016/680, p. 23.

21 Assessment of the implementation of the Law Enforcement Directive (Avaliação da aplicação da Diretiva Proteção de Dados na Aplicação da Lei), op. cit., nota de rodapé n.^o 8, p. 57. Em conformidade com o artigo 17.^o, n.^o 1, alínea a), da Decisão‑Quadro 2008/977, os titulares dos dados podiam exercer o direito de acesso em relação ao responsável pelo tratamento ou à autoridade nacional de controlo, e podiam obter a confirmação da transmissão dos seus dados e a comunicação desses dados ou, pelo menos, a confirmação da autoridade nacional de controlo de que foram efetuadas todas as verificações necessárias.

22 Ver artigo 17.^o da Decisão‑Quadro 2008/977.

23 Observo que, em linha com a Assessment of the implementation of the Law Enforcement Directive (Avaliação da aplicação da Diretiva Proteção de Dados na Aplicação da Lei), referida na nota de rodapé n.^o 8, p. 62, a transposição do capítulo III da Diretiva 2016/680 pelo legislador belga é «muito surpreendente», uma vez que oferece aos titulares dos dados «apenas a possibilidade de exercerem indiretamente os seus direitos, através da autoridade nacional de controlo, o que é manifestamente contrário à letra da [referida diretiva]» [tradução livre] (o sublinhado é meu).

24 Conseil d’État (Conselho de Estado, em formação jurisdicional, secção de assuntos legislativos), Parecer 63.192/2 de 19 de abril de 2018, p. 32 (o sublinhado é meu).

25 Acórdão de 16 de fevereiro de 2023, Staatssecretaris van Justitie en Veiligheid (Nascituro no momento de apresentação do pedido de asilo), C‑745/21, EU:C:2023:113, n.^o 43.

26 V. n.^os 27 a 30, supra.

27 V., neste sentido, Acórdão de 10 de junho de 2021, Ultimo Portfolio Investment (Luxembourg), C‑303/20, EU:C:2021:479, n.^o 25.

28 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia), C‑205/21, EU:C:2023:49, n.^o 87 e jurisprudência referida.

29 V., neste sentido, relativamente ao conceito de ato que causa prejuízo a uma pessoa na aceção do artigo 90.^o, n.^o 2, do Estatuto dos Funcionários, Acórdão de 15 de dezembro de 2022, Picard/Comissão, C‑366/21 P, EU:C:2022:984, n.^o 95.

30 Acórdão de 15 de dezembro de 2022, Picard/Comissão, C‑366/21 P, EU:C:2022:984, n.^o 96. Estes elementos são igualmente decisivos para determinar se um ato da União produz efeitos jurídicos vinculativos e, por conseguinte, se é recorrível nos termos do artigo 263.^o TFUE. V. Acórdão de 15 de julho de 2021, FBF, C‑911/19, EU:C:2021:599, n.^o 38.

31 Acórdão de 15 de dezembro de 2022, Picard/Comissão, C‑366/21 P, EU:C:2022:984, n.^o 97.

32 N.^o 51 das presentes conclusões.

33 V., por analogia, Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.^o 34.

34 Artigos 77.^o, n.^o 1, 78.^o, n.^o 1, e 79.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

35 Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.^o 35.

36 V., por analogia, no que respeita ao considerando 11 do Regulamento 2016/679, Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.^o 42.

37 Acórdão de 21 de junho de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, n.^o 86 e jurisprudência referida.

38 V. n.^o 54 das presentes conclusões e jurisprudência referida.

39 Acórdão de 26 de janeiro de 2023, Ministerstvo na vatreshnite raboti (Registo de dados biométricos e genéticos pela polícia), C‑205/21, EU:C:2023:49, n.^o 89 e jurisprudência referida.

40 V. n.^os 37 e 38 das presentes conclusões.

41 Dimitrova, D., de Hert, P., «The right of access under the Police Directive: Small steps forward», in Medina, M. et al., Privacy technologies and policy: 6 ^th Annual Privacy Forum, APF 2018, Springer International Publishing, 2018, p. 123.

42 V. artigo 14.^o da Proposta da Comissão de Diretiva relativa à Proteção de Dados na Aplicação da Lei. O artigo 45.^o, n.^o 1, alínea c), da referida proposta previa a «obrigação» da autoridade de controlo de verificar a licitude do tratamento dos dados nos termos do artigo 14.^o, e de informar o titular de dados num período razoável «do resultado da verificação ou dos motivos que impediram a sua realização».

43 V., neste sentido, Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363, n.^o 57.

44 Ibid., n.^o 58.

45 Acórdão de 3 de setembro de 2008, Kadi e Al Barakaat International Foundation/Conselho e Comissão, C‑402/05 P e C‑415/05 P, EU:C:2008:461.