1

Mediante su recurso basado en el artículo 263 TFUE, la demandante, WhatsApp Ireland Ltd (en lo sucesivo, «WhatsApp»), solicita la anulación de la Decisión vinculante 1/2021 del Comité Europeo de Protección de Datos (en lo sucesivo, «CEPD»), de 28 de julio de 2021, relativa al conflicto entre las autoridades de control interesadas surgido a raíz del proyecto de decisión referente a WhatsApp elaborado por la Data Protection Commission (Autoridad de supervisión en materia de protección de datos personales de las personas físicas, Irlanda; en lo sucesivo, «autoridad de control irlandesa») (en lo sucesivo, «Decisión impugnada»).

2

A raíz de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3, y en DO 2021, L 74, p. 35), la autoridad de control irlandesa recibió quejas de usuarios y no usuarios de la mensajería «WhatsApp» en relación con el tratamiento de datos personales por parte de WhatsApp. Por otro lado, la autoridad de control federal alemana solicitó la asistencia de la autoridad de control irlandesa en relación con el cumplimiento por parte de WhatsApp de las obligaciones de transparencia que recaen sobre los responsables del tratamiento de datos personales en lo que atañe a un posible intercambio de tales datos con otras entidades del grupo Facebook (rebautizado en septiembre de 2021 como Meta).

3

En diciembre de 2018, la autoridad de control irlandesa inició de oficio una investigación de carácter general sobre el cumplimiento por parte de WhatsApp de las obligaciones de transparencia e información frente a los particulares (en contraposición a las empresas) establecidas en los artículos 12, 13 y 14 del Reglamento 2016/679, sin perjuicio del curso que pudiera dar a los asuntos individuales de los que conocía. La autoridad de control irlandesa actuó a este respecto como «autoridad de control principal», tal como prevé el artículo 56, apartado 1, del Reglamento 2016/679, dado que WhatsApp, en cuanto responsable del tratamiento de las operaciones de la mensajería «WhatsApp» en Europa, tratamiento que tiene carácter transfronterizo, tenía su establecimiento principal en Irlanda.

4

Una vez finalizada la fase de investigación en septiembre de 2019 mediante la presentación de un informe final del investigador, la persona responsable de la toma de decisiones de la autoridad de control irlandesa, al término de las fases procedimentales intermedias en las que WhatsApp formuló sus observaciones, presentó en diciembre de 2020 a todas las demás autoridades de control interesadas en el asunto, a saber, todas las demás autoridades de control de los Estados miembros, un proyecto de decisión para obtener el dictamen de estas relativo a su proyecto, de conformidad con el artículo 60, apartado 3, del Reglamento 2016/679.

5

En enero de 2021, ocho de esas autoridades de control —las autoridades de control federal alemana, de Baden-Württemberg, húngara, neerlandesa, polaca, francesa, italiana y portuguesa— formularon objeciones sobre determinados aspectos del referido proyecto de decisión. Además, varias autoridades de control formularon meros comentarios. La autoridad de control irlandesa respondió de manera agrupada a las demás autoridades de control interesadas proponiendo soluciones de compromiso. Si bien, a raíz de esta respuesta, una de esas autoridades retiró una de sus objeciones, la autoridad de control irlandesa constató que las autoridades de control interesadas no habían alcanzado un consenso acerca de sus propuestas relativas a los demás aspectos sobre los que se habían formulado objeciones y decidió rechazar todas esas objeciones para someter la cuestión al CEPD, a fin de que este resolviera el conflicto existente entre las autoridades de control interesadas en lo referente a esos aspectos, de conformidad con lo dispuesto en los artículos 60, apartado 4, y 65, apartado 1, letra a), del Reglamento 2016/679.

6

En mayo de 2021, después de haber transmitido a WhatsApp todos los documentos intercambiados al respecto, la autoridad de control irlandesa recabó por escrito las observaciones de dicha empresa sobre los elementos debatidos entre las autoridades de control interesadas, y la propia autoridad de control transmitió tales observaciones al CEPD para que este tuviera conocimiento de ellas en el marco del procedimiento de resolución de conflictos incoado por la citada autoridad de control en junio de 2021.

7

El CEPD, que, a tenor del artículo 68, apartado 3, del Reglamento 2016/679, está compuesto «por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos», adoptó el 28 de julio de 2021 la Decisión impugnada por mayoría de dos tercios, según lo previsto en el artículo 65, apartado 2, del Reglamento 2016/679. La Decisión impugnada es una decisión que tiene como destinatarias a la autoridad de control principal y a todas las autoridades de control interesadas, que es vinculante para ellas, tal como prevé la misma disposición, y que se refiere a todas las cuestiones sobre las que se hayan manifestado objeciones pertinentes y motivadas, como dispone el artículo 65, apartado 1, letra a), del Reglamento 2016/679. A este respecto, antes de nada, el CEPD examinó en la Decisión impugnada, respecto de cada objeción manifestada por una autoridad de control interesada, si era pertinente y estaba motivada. Solo se pronunció sobre las objeciones en los casos en que respondió afirmativamente a esta cuestión previa.

8

Después de que la autoridad de control irlandesa recibiese la Decisión impugnada y recabase de WhatsApp las observaciones de esta sobre las sanciones pecuniarias que en definitiva se proponía imponerle a la luz de la Decisión impugnada, la persona responsable de la toma de decisiones de dicha autoridad adoptó, el 20 de agosto de 2021, con arreglo al artículo 65, apartado 6, del Reglamento 2016/679, una decisión definitiva que tenía como destinatario a WhatsApp (en lo sucesivo, «decisión definitiva»). En la decisión definitiva se estimaba que WhatsApp había violado el principio de transparencia e incumplido las respectivas obligaciones que se establecen en los artículos 5, apartado 1, letra a), 12, apartado 1, 13, apartados 1, letras c), d), e) y f), y 2, letras a), c) y e), y 14 del Reglamento 2016/679. En cambio, se indicaba que WhatsApp había cumplido las obligaciones establecidas en el artículo 13, apartados 1, letras a) y b), y 2, letras b) y d), del Reglamento 2016/679. En concepto de medidas correctivas adoptadas sobre la base del artículo 58, apartado 2, letras b), d) e i), del Reglamento 2016/679, en la decisión definitiva se dirigió un apercibimiento a WhatsApp y se le impusieron la ejecución de un determinado número de acciones enumeradas en un anexo, destinadas a que se conformase en un plazo de tres meses a las disposiciones del Reglamento 2016/679 que se habían infringido, así como cuatro multas administrativas, por un importe total de 225 millones de euros, por las infracciones constatadas de los artículos 5, apartado 1, letra a), 12, 13 y 14 del Reglamento 2016/679.

9

En la decisión definitiva, la persona responsable de la toma de decisiones de la autoridad de control irlandesa identificó los aspectos por los que la Decisión impugnada la obligaba a revisar la apreciación expuesta en el proyecto de decisión mencionado en el apartado 4 del presente auto. En relación con estos aspectos, optó por reproducir tal cual, dentro de encuadramientos en sombreado, los motivos expuestos por el CEPD en la Decisión impugnada y por extraer simplemente de ellos las consecuencias en cada caso en un punto concluyente. En la decisión definitiva precisó, por una parte, que no se refería a las objeciones que el CEPD había considerado no pertinentes o no motivadas, cuyo fundamento, por tanto, no había apreciado el citado Comité, ni a las objeciones respecto de las que el CEPD había considerado que no requerían que se modificase la apreciación que figuraba en el proyecto de decisión, y, por otra parte, que no se pronunciaba sobre dichas objeciones.

10

De conformidad con el artículo 65, apartado 6, del Reglamento 2016/679, la Decisión impugnada se adjuntó a la decisión definitiva de la autoridad de control irlandesa.

11

A este respecto, resulta que, en la Decisión impugnada, el CEPD solo se pronunció sucesivamente sobre los siguientes aspectos, respecto de los que, a su juicio, se habían manifestado objeciones pertinentes y motivadas:

12

WhatsApp impugnó la decisión definitiva ante un órgano jurisdiccional irlandés y solicitó paralelamente al Tribunal General la anulación de la Decisión impugnada.

13

En el marco del presente procedimiento, la Computer & Communication Industry Association solicitó intervenir en apoyo de la demandante, mientras que la República de Finlandia, la Comisión Europea y el Supervisor Europeo de Protección de Datos solicitaron intervenir en apoyo del CEPD. Con vistas a estas intervenciones, las partes principales solicitaron que no se comunicaran a algunas de las partes coadyuvantes determinados elementos de los autos, debido al carácter confidencial de estos. Hasta este momento, no se ha adoptado una decisión sobre dichas solicitudes.

14

La diligencia de ordenación del procedimiento adoptada a raíz de la presentación del escrito de contestación, en la que se instaba a las partes principales a no dejar de pronunciarse, en la réplica y en la dúplica, sobre todas las cuestiones importantes relativas a la competencia del Tribunal General y a la admisibilidad del recurso, mencionaba a este respecto la calificación de la Decisión impugnada como acto de un órgano de la Unión Europea, la calificación de la Decisión impugnada como acto impugnable, la legitimación activa de la demandante y el interés de esta en ejercitar la acción.

15

WhatsApp solicita la anulación total de la Decisión impugnada o, con carácter subsidiario, la de las partes pertinentes, así como la condena en costas del CEPD.

16

El CEPD solicita que se declare la inadmisibilidad del recurso; con carácter subsidiario, que se desestime por infundado, y, con carácter subsidiario de segundo grado, que la anulación de la Decisión impugnada se limite a las partes pertinentes. El CEPD solicita asimismo que se condene en costas a la demandante.

17

A tenor del artículo 129 del Reglamento de Procedimiento del Tribunal General, a propuesta del Juez Ponente, el Tribunal General podrá decidir en cualquier momento, de oficio y tras oír a las partes principales, resolver mediante auto motivado sobre las causas de inadmisión de la demanda por motivos de orden público.

18

En el presente asunto, el Tribunal General se considera suficientemente instruido por los documentos que obran en autos y, en virtud de dicho artículo, decide pronunciarse sobre la admisibilidad del recurso sin continuar el procedimiento.

19

En efecto, la verificación de la competencia del Tribunal General y la de la legitimación activa de una parte demandante son cuestiones de orden público, al igual que la comprobación de otros elementos relacionados con la admisibilidad de un recurso, y, en el caso de autos, se ha dado a las partes principales la posibilidad de exponer sus observaciones al respecto a raíz de la diligencia de ordenación del procedimiento mencionada en el apartado 14 del presente auto, después de que, por otra parte, el propio CEPD hubiera alegado la inadmisibilidad del recurso en el escrito de contestación a la demanda.

20

En el caso de autos procede recordar, con carácter preliminar, el marco jurídico institucional en el que se inscribe la Decisión impugnada.

21

El capítulo VI del Reglamento 2016/679 se titula «Autoridades de control independientes». Dentro de él, el artículo 51 dispone que cada Estado miembro «establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento», que cada una de estas autoridades «contribuirá a la aplicación coherente del presente Reglamento en toda la Unión» y que, a tal fin, «las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII».

22

El artículo 55 establece que cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el Reglamento 2016/679 en el territorio de su Estado miembro y el artículo 56 indica que, sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60. Tal como se ha indicado en el apartado 3 del presente auto, en el caso de autos, la autoridad de control irlandesa actuó frente a WhatsApp como autoridad de control principal.

23

El artículo 58, apartado 2, del Reglamento 2016/679 establece que cada autoridad de control dispondrá de todos los poderes correctivos respecto de un responsable o encargado del tratamiento y, en particular, conforme a sus letras b), d) e i), podrá dirigirles un apercibimiento cuando las operaciones de tratamiento hayan dado lugar a la infracción de las disposiciones del Reglamento 2016/679, ordenarles que las operaciones de tratamiento se ajusten a las disposiciones del Reglamento 2016/679, cuando proceda, de una determinada manera y dentro de un plazo especificado, e imponerles una multa administrativa.

24

El capítulo VII del Reglamento 2016/679, que sigue a las disposiciones citadas en los anteriores apartados 21 a 23, se titula «Cooperación y coherencia».

25

En la sección «Cooperación» de ese capítulo, el artículo 60, titulado a su vez «Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas», establece, en particular:

«1.   La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.

[…]

3.   La autoridad de control principal comunicará sin dilación a las demás autoridades de control interesadas la información pertinente a este respecto. Transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.

4.   En caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas a partir de la consulta con arreglo al apartado 3 del presente artículo, la autoridad de control principal someterá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada o estime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherencia contemplado en el artículo 63.

5.   En caso de que la autoridad de control principal prevea seguir lo indicado en la objeción pertinente y motivada recibida, presentará a dictamen de las demás autoridades de control interesadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado se someterá al procedimiento indicado en el apartado 4 en un plazo de dos semanas.

6.   En caso de que ninguna otra autoridad de control interesada haya presentado objeciones al proyecto de decisión transmitido por la autoridad de control principal en el plazo indicado en los apartados 4 y 5, se considerará que la autoridad de control principal y las autoridades de control interesadas están de acuerdo con dicho proyecto de decisión y estarán vinculadas por este.

7.   La autoridad de control principal adoptará y notificará la decisión al establecimiento principal o al establecimiento único del responsable o el encargado del tratamiento, según proceda, e informará de la decisión a las autoridades de control interesadas y al Comité, incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante.

[…]

10.   Tras recibir la notificación de la decisión de la autoridad de control principal […], el responsable o el encargado del tratamiento adoptará las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión. El responsable o el encargado notificarán las medidas adoptadas para dar cumplimiento a dicha decisión a la autoridad de control principal, que a su vez informará a las autoridades de control interesadas.»

26

En la sección «Coherencia» del mismo capítulo VII del Reglamento 2016/679, el artículo 63, titulado «Mecanismo de coherencia», dispone:

«A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.»

27

El CEPD interviene en dicho mecanismo. El estatuto del CEPD está establecido en la sección tercera y última del capítulo VII del Reglamento 2016/679, titulada «Comité Europeo de Protección de Datos».

28

En esta sección, el artículo 68 está redactado como sigue:

«1.   Se crea el Comité Europeo de Protección de Datos (“Comité”), como organismo de la Unión, que gozará de personalidad jurídica.

[…]

3.   El Comité estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos.

[…]»

29

En la misma sección, el artículo 70, con el epígrafe «Funciones del Comité», prevé lo siguiente:

«1.   El Comité garantizará la aplicación coherente del presente Reglamento. A tal efecto, el Comité, a iniciativa propia o, en su caso, a instancia de la Comisión, en particular:

[…]».

30

Por otra parte, el mismo artículo 70 enumera detalladamente las demás funciones del CEPD, que son esencialmente funciones de asesoramiento, que debe ejercer mediante dictámenes, directrices, recomendaciones y consejos sobre «buenas prácticas».

31

En la sección «Coherencia», mencionada en el apartado 26 del presente auto, después del artículo 64, que enumera los casos en los que el CEPD emite un dictamen, el artículo 65, titulado «Resolución de conflictos por el Comité», dispone, en particular:

«1.   Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité adoptará una decisión vinculante en los siguientes casos:

[…]

2.   La decisión a que se refiere el apartado 1 se adoptará […] por mayoría de dos tercios de los miembros del Comité. […] La decisión que menciona el apartado 1 estará motivada y será dirigida a la autoridad de control principal y a todas las autoridades de control interesadas, y será vinculante para ellas.

[…]

5.   El presidente del Comité notificará sin dilación indebida la decisión contemplada en el apartado 1 a las autoridades de control interesadas. También informará de ello a la Comisión. La decisión se publicará en el sitio web del Comité sin demora, una vez que la autoridad de control haya notificado la decisión definitiva a que se refiere el apartado 6.

6.   La autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación adoptará su decisión definitiva sobre la base de la decisión contemplada en el apartado 1 del presente artículo, sin dilación indebida y a más tardar un mes tras la notificación de la decisión del Comité. […] La decisión definitiva hará referencia a la decisión contemplada en el apartado 1 del presente artículo y especificará que esta última decisión se publicará en el sitio web del Comité con arreglo al apartado 5 del presente artículo. La decisión definitiva llevará adjunta la decisión contemplada en el apartado 1 del presente artículo.»

32

El capítulo VIII del Reglamento 2016/679, titulado «Recursos, responsabilidad y sanciones», aborda en el artículo 78 el «derecho a la tutela judicial efectiva contra una autoridad de control» y en el artículo 79 el «derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento». No contiene disposición alguna referente a posibles vías de recurso contra las decisiones vinculantes del CEPD que se adopten sobre la base del artículo 65, apartado 1, antes citado. No obstante, el artículo 78, apartado 4, indica que «cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de […] una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dich[a] […] decisión.»

33

En la exposición de motivos del Reglamento 2016/679, el considerando 143 indica:

«Toda persona física o jurídica tiene derecho a interponer ante el Tribunal de Justicia recurso de anulación de decisiones del Comité, en las condiciones establecidas en el artículo 263 TFUE. Como destinatarias de dichas decisiones, las autoridades de control interesadas que quieran impugnarlas tienen que interponer recurso en el plazo de dos meses a partir del momento en que les fueron notificadas, de conformidad con el artículo 263 TFUE. En caso de que las decisiones del Comité afecten directa e individualmente a un responsable, un encargado o al reclamante, estos pueden interponer recurso de anulación de dichas decisiones en el plazo de dos meses a partir de su publicación en el sitio web del Comité, de conformidad con el artículo 263 TFUE. Sin perjuicio de lo dispuesto en el artículo 263 TFUE, toda persona física o jurídica debe tener derecho a la tutela judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le afecten. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de reclamaciones. No obstante, el derecho a la tutela judicial efectiva no incluye medidas adoptadas por las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por ellas. Las acciones contra una autoridad de control deben ejercitarse ante los tribunales del Estado miembro en el que esté establecida y tramitarse con arreglo al Derecho procesal de dicho Estado miembro. Dichos tribunales deben tener plena jurisdicción, incluida la competencia para examinar todos los elementos de hecho y de Derecho relativos a la causa de la que conozcan.

Si una autoridad de control rechaza o desestima una reclamación, el reclamante puede ejercitar una acción ante los tribunales del mismo Estado miembro. En el contexto de las acciones judiciales relacionadas con la aplicación del presente Reglamento, los tribunales nacionales que estimen necesaria una decisión al respecto para poder emitir su fallo pueden, o en el caso establecido en el artículo 267 TFUE, deben solicitar al Tribunal de Justicia que se pronuncie con carácter prejudicial sobre la interpretación del Derecho de la Unión, incluido el presente Reglamento. Además, si una decisión de una autoridad de control por la que se ejecuta una decisión del Comité se impugna ante un tribunal nacional y se cuestiona la validez de la decisión del Comité, dicho tribunal nacional no es competente para declarar inválida la decisión del Comité, sino que, si la considera inválida, tiene que remitir la cuestión de la validez al Tribunal de Justicia de conformidad con el artículo 267 TFUE, según la interpretación de este. No obstante, un tribunal nacional puede no remitir la cuestión de la validez de la decisión del Comité a instancia de una persona física o jurídica que, habiendo tenido la oportunidad de interponer recurso de anulación de dicha decisión, en particular si dicha decisión la afectaba directa e individualmente, no lo hizo en el plazo establecido en el artículo 263 TFUE.»

34

El artículo 263 TFUE, cuyos párrafos primero, segundo, cuarto y quinto se reproducen a continuación, estipula lo siguiente:

«El Tribunal de Justicia de la Unión Europea controlará la legalidad de los actos legislativos, de los actos del Consejo, de la Comisión y del Banco Central Europeo que no sean recomendaciones o dictámenes, y de los actos del Parlamento Europeo y del Consejo Europeo destinados a producir efectos jurídicos frente a terceros. Controlará también la legalidad de los actos de los órganos u organismos de la Unión destinados a producir efectos jurídicos frente a terceros.

A tal fin, el Tribunal de Justicia de la Unión Europea será competente para pronunciarse sobre los recursos por incompetencia, vicios sustanciales de forma, violación de los Tratados o de cualquier norma jurídica relativa a su ejecución, o desviación de poder, interpuestos por un Estado miembro, el Parlamento Europeo, el Consejo o la Comisión.

[…]

Toda persona física o jurídica podrá interponer recurso, en las condiciones previstas en los párrafos primero y segundo, contra los actos de los que sea destinataria o que la afecten directa e individualmente y contra los actos reglamentarios que la afecten directamente y que no incluyan medidas de ejecución.

Los actos por los que se crean los órganos y organismos de la Unión podrán prever condiciones y procedimientos específicos para los recursos presentados por personas físicas o jurídicas contra actos de dichos órganos u organismos destinados a producir efectos jurídicos frente a ellos.

[…]»

35

Del artículo 263 TFUE, párrafo primero, se desprende que el juez de la Unión es competente para controlar la legalidad de un acto de un órgano de la Unión destinado a producir efectos jurídicos frente a terceros. Además, del mismo artículo, párrafo cuarto, se desprende que, para estar legitimada para interponer un recurso contra un acto individual de un órgano de la Unión del que no sea destinataria, en principio, una persona jurídica debe estar directa e individualmente afectada por este. En el caso de autos, como se ha expuesto en el apartado 32 del presente auto, en el Reglamento 2016/679 no figura ninguna disposición que corresponda a la previsión del artículo 263 TFUE, párrafo quinto, aunque, en el presente asunto, WhatsApp está efectivamente sujeta a los requisitos establecidos en el párrafo cuarto de dicho artículo de que la Decisión impugnada la afecte directa e individualmente para que su recurso contra dicha decisión pueda ser admisible.

36

Antes de nada, debe señalarse que la Decisión impugnada, adoptada por el CEPD, es efectivamente un acto de un órgano de la Unión. Es cierto que el sistema institucional previsto en el Reglamento 2016/679, expuesto en los apartados 21 a 31 del presente auto, en particular la competencia exclusiva de las autoridades nacionales de control para adoptar medidas correctivas respecto de los responsables o encargados del tratamiento, así como los mecanismos de cooperación y de coherencia entre esas autoridades, incluso dentro del CEPD, que esencialmente agrupa a esas autoridades, podría hacer pensar que este último no es más que una instancia de coordinación entre autoridades nacionales. No obstante, a tenor del artículo 68, apartado 1, del Reglamento 2016/679, el CEPD fue creado como organismo de la Unión y posee personalidad jurídica. Además, como tal está facultado para adoptar dictámenes sobre la base de los artículos 64 y 65 del Reglamento 2016/679 y, en el marco de la resolución de conflictos entre autoridades de control nacionales, decisiones como la Decisión impugnada, vinculantes para las autoridades de control interesadas, por lo que esos dictámenes y decisiones son actos de un órgano de la Unión.

37

A continuación, debe señalarse que la Decisión impugnada está destinada a producir efectos jurídicos frente a terceros, ya que es una «decisión vinculante» para las autoridades de control interesadas, adoptada sobre la base del artículo 65 del Reglamento 2016/679.

38

No obstante, cuando una parte demandante no es uno de los demandantes denominados «privilegiados», mencionados individualmente por su nombre en el artículo 263 TFUE, párrafo segundo, se ha declarado reiteradamente que, para constituir un acto impugnable por esa parte demandante, dicho acto debe producir efectos jurídicos obligatorios que puedan afectar a los intereses de la parte demandante, modificando de forma caracterizada su situación jurídica (sentencia de 11 de noviembre de 1981, IBM/Comisión, 60/81, EU:C:1981:264, apartado 9; véase, asimismo, la sentencia de 18 de noviembre de 2010, NDSHT/Comisión, C‑322/09 P, EU:C:2010:701, apartado 45 y jurisprudencia citada).

39

El Tribunal de Justicia también ha declarado que, cuando tal parte demandante no es destinataria del acto que impugna, el requisito de que el acto debe modificar de forma caracterizada la situación jurídica de la parte demandante se solapa con las condiciones establecidas en el artículo 263 TFUE, párrafo cuarto, es decir, cuando el acto impugnado no sea un acto reglamentario que no incluye medidas de ejecución, siempre con la necesidad de que la parte demandante esté directa e individualmente afectada por dicho acto (véase, en este sentido, la sentencia de 13 de octubre de 2011, Deutsche Post y Alemania/Comisión, C‑463/10 P y C‑475/10 P, EU:C:2011:656, apartado 38).

40

En el caso de autos, puede observarse de entrada, habida cuenta de la naturaleza del acto impugnado, que es un acto individual, que la Decisión impugnada afecta individualmente a WhatsApp, ya que se refiere a determinados aspectos de un proyecto de decisión definitiva de la autoridad de control irlandesa que la afecta de manera concreta. Contrariamente a lo que afirma el CEPD en la dúplica, la Decisión impugnada no se limita a enunciar principios o a interpretar determinadas disposiciones del Reglamento 2016/679 que pudieran afectar a cualquier responsable del tratamiento. En la Decisión impugnada, como se ha expuesto en el apartado 11 del presente auto, el CEPD se pronuncia sobre el cumplimiento por parte de WhatsApp de algunas de sus obligaciones con arreglo al Reglamento 2016/679, califica como datos personales los elementos resultantes del procedimiento denominado «Lossy Hashing Procedure», que es un tratamiento realizado únicamente por WhatsApp, y se pronuncia sobre determinadas medidas correctivas que deben imponerse a WhatsApp, en concreto, sobre determinados aspectos de la determinación de las multas administrativas que se le deben imponer. Así pues, la Decisión impugnada es específica para WhatsApp, aunque, como ocurre muy frecuentemente en los actos individuales, enuncie o recuerde principios e interpretaciones de carácter general.

41

A continuación, debe examinarse la cuestión de si la Decisión impugnada produce efectos jurídicos que modifican de manera caracterizada la situación jurídica de WhatsApp y si la afecta directamente, en el sentido del artículo 263 TFUE, párrafo cuarto.

42

Desde este punto de vista, ha de observarse, como subraya esta vez con acierto el CEPD, que la Decisión impugnada no modifica por sí misma la situación jurídica de WhatsApp. En efecto, contrariamente a la decisión definitiva de la autoridad de control irlandesa, no puede oponérsele directamente, sino que constituye, frente a ella, un acto de trámite, o intermedio, en un procedimiento que, conforme a lo dispuesto en los artículos 58, apartado 2, 60, 63 y 65 del Reglamento 2016/679, citados en los apartados 23 a 26 y 31 del presente auto, debe precisamente finalizar mediante la adopción de una decisión definitiva de una autoridad de control nacional de la que dicha empresa sea destinataria (véase, en este sentido y por analogía, la sentencia de 24 de junio de 1986, AKZO Chemie y AKZO Chemie UK/Comisión, 53/85, EU:C:1986:256, apartado 19).

43

A este respecto, se ha declarado en numerosas ocasiones que, en los procedimientos que conducen a la elaboración de actos en varias fases, las medidas intermedias cuyo objetivo es preparar la decisión definitiva no constituyen, en principio, actos impugnables (véanse, en este sentido, las sentencias de 11 de noviembre de 1981, IBM/Comisión, 60/81, EU:C:1981:264, apartado 10, y de 26 de enero de 2010, Internationaler Hilfsfonds/Comisión, C‑362/08 P, EU:C:2010:40, apartado 52 y jurisprudencia citada).

44

Las excepciones al principio recordado en el anterior apartado 43 se refieren al caso en el que la medida intermedia produce efectos jurídicos autónomos contra los cuales no puede garantizarse una tutela judicial suficiente en el marco de un recurso contra la decisión que pone fin al procedimiento (véanse, en este sentido, las sentencias de 11 de noviembre de 1981, IBM/Comisión, 60/81, EU:C:1981:264, apartados 11 y 12, y de 13 de octubre de 2011, Deutsche Post y Alemania/Comisión, C‑463/10 P y C‑475/10 P, EU:C:2011:656, apartados 53 y 54). A título de ejemplo, tales excepciones han sido identificadas en el marco de un procedimiento de control del cumplimiento de las normas en materia de competencia aplicables a las empresas (véase, en este sentido, la sentencia de 24 de junio de 1986, AKZO Chemie y AKZO Chemie UK/Comisión, 53/85, EU:C:1986:256, apartado 20), en el contexto de un procedimiento de control del cumplimiento de las normas en materia de ayudas de Estado (véase, en este sentido, la sentencia de 9 de octubre de 2001, Italia/Comisión, C‑400/99, EU:C:2001:528, apartados 55 a 63) y en relación con una medida accesoria o de conservación anterior a una decisión definitiva dirigida a la suspensión de un funcionario objeto de un procedimiento disciplinario (véase, en este sentido, la sentencia de 5 de mayo de 1966, Gutmann/Comisión, 18/65 y 35/65, EU:C:1966:24, p. 168).

45

En el caso de autos, por el contrario, se garantiza a WhatsApp la tutela judicial efectiva frente a la Decisión impugnada a través de la vía de recurso contra la decisión definitiva de la autoridad de control irlandesa de que dispone ante el juez nacional, que permite apreciar la validez de la Decisión impugnada. Como establece el artículo 78, apartado 1, del Reglamento 2016/679, que indica que debe garantizarse a toda persona en cada Estado miembro el derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna, WhatsApp impugnó ante un órgano jurisdiccional irlandés la decisión definitiva adoptada por la autoridad de control irlandesa y, en el marco de dicho recurso, puede alegar la ilegalidad de las apreciaciones vinculantes que figuran en la Decisión impugnada, recogidas en la referida decisión definitiva. A este respecto, procede recordar que el artículo 267 TFUE permite alegar ante el órgano jurisdiccional nacional la invalidez de los actos adoptados por las instituciones, órganos y organismos de la Unión, al establecer que, cuando el juez nacional estime necesaria una decisión al respecto para poder emitir su fallo, puede o debe plantear al Tribunal de Justicia de la Unión Europea una cuestión prejudicial de validez. Si este declara, al final del procedimiento prejudicial, que tal acto, aunque sea preparatorio de una decisión que emana de una autoridad de un Estado miembro, es inválido, el juez nacional deberá extraer de ello las consecuencias en cuanto a la legalidad de dicha decisión que perjudica al interesado (véanse, en este sentido, las sentencias de 30 de octubre de 1975, Rey Soda y otros, 23/75, EU:C:1975:142, apartado 51, y de 20 de marzo de 2018, Šroubárna Ždánice/Consejo, T‑442/16, no publicada, EU:T:2018:159, apartado 34).

46

Además, la Decisión impugnada no produce, frente a WhatsApp, ningún efecto jurídico autónomo con respecto a la decisión definitiva que emana de la autoridad de control irlandesa, pues todas las apreciaciones que figuran en la primera se recogen en la segunda y la primera no produce ningún efecto independiente del contenido de la segunda, contrariamente a lo que sucedía en los supuestos de hecho que dieron lugar a las sentencias de 5 de mayo de 1966,Gutmann/Comisión (18/65 y 35/65, EU:C:1966:24); de 24 de junio de1986, AKZO Chemie y AKZO Chemie UK/Comisión (53/85, EU:C:1986:256), y de 9 de octubre de 2001, Italia/Comisión (C‑400/99, EU:C:2001:528), mencionadas en el apartado 44 del presente auto.

47

A este respecto, si bien los principios recordados en los anteriores apartados 43 y 44 se han establecido en relación con procedimientos que, en lo que atañe a la decisión definitiva, son competencia de las instituciones o de otras entidades de la Unión, ninguna razón justifica que sea diferente cuando, como ocurre en el caso de autos, la normativa de la Unión confía la supervisión de la aplicación de normas particulares de la Unión a autoridades nacionales específicas en el marco de procedimientos que constan de varias fases y que tienen por objeto una medida intermedia adoptada por un órgano de la Unión con ocasión de tal procedimiento que concluye con una decisión de una autoridad nacional.

48

WhatsApp alega, ciertamente, que la Decisión impugnada consiste en una posición final del CEPD que la autoridad de control irlandesa debía seguir en la decisión definitiva. Este argumento se comprende en el sentido de que la Decisión impugnada es, por ello, necesariamente un acto impugnable y de que se distingue de las medidas intermedias que solo expresan una opinión provisional, que son únicamente actos no impugnables.

49

No obstante, como se ha recordado en el apartado 38 del presente auto, para que un acto sea impugnable por una parte demandante distinta de los demandantes denominados privilegiados, mencionados en el artículo 263 TFUE, párrafo segundo, dicho acto debe, en particular, modificar de manera caracterizada la situación jurídica de esta. Pues bien, el hecho de que un acto intermedio exprese la posición final de una autoridad que debe reproducirse en la decisión definitiva que ponga fin al procedimiento de que se trate, como en el caso de autos, porque la Decisión impugnada contiene un análisis final sobre determinados aspectos de la decisión definitiva, no significa necesariamente que dicho acto intermedio modifique por sí mismo de manera caracterizada la situación jurídica de la parte demandante, como se ha demostrado en los anteriores apartados 42 a 47. En la medida en que, como se ha recordado en el apartado 39 del presente auto, este requisito se solapa con las condiciones establecidas en el artículo 263 TFUE, párrafo cuarto, es decir, en particular con la necesidad de que dicho acto afecte directamente a la parte demandante, este extremo puede verificarse en el caso de autos examinando si la Decisión impugnada afecta directamente a WhatsApp.

50

Pues bien, como sostiene acertadamente el CEPD, la Decisión impugnada no afecta directamente a WhatsApp.

51

En efecto, se ha declarado reiteradamente que, para afectar directamente a una parte demandante no destinataria de un acto, dicho acto debe, en primer lugar, producir directamente efectos jurídicos sobre la situación de esa parte demandante y, en segundo lugar, no permitir ninguna facultad de apreciación a los destinatarios encargados de su aplicación, por tener esta carácter automático y derivarse únicamente de la normativa de la Unión, sin aplicación de otras normas intermedias (sentencias de 13 de mayo de 1971, International Fruit Company y otros/Comisión, 41/70 a 44/70, EU:C:1971:53, apartados 23 a 28; de 5 de mayo de 1998, Dreyfus/Comisión, C‑386/96 P, EU:C:1998:193, apartado 43, y de 17 de septiembre de 2009, Comisión/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, apartado 48).

52

En cuanto al primero de estos requisitos, como ya se ha señalado en el apartado 42 del presente auto, la Decisión impugnada no tiene carácter oponible a WhatsApp que permita, sin etapa adicional en el procedimiento, ser fuente de obligaciones para ella o, en su caso, de derechos para otros particulares. Difiere así, por ejemplo, de los actos que fueron objeto de la sentencia de 23 de abril de 1986, Les Verts/Parlamento (294/83, EU:C:1986:166), respecto de los cuales se observó, en el apartado 31 de dicha sentencia, para concluir, que afectaban directamente a la asociación demandante, que «[constituían] una normativa completa, autosuficiente y que no [requería] ninguna otra disposición de aplicación». En el caso de autos, la Decisión impugnada no es la última etapa del procedimiento completo previsto en los artículos 58, 60 y 65 del Reglamento 2016/679.

53

Por lo que respecta al segundo de estos requisitos, relativo a la facultad de apreciación de la autoridad encargada de la ejecución del acto en cuestión, debe señalarse que, aunque la Decisión impugnada vinculaba a la autoridad de control irlandesa en lo que atañe a los aspectos a los que se refería, le dejaba un margen de apreciación en cuanto al contenido de la decisión definitiva.

54

En efecto, como se desprende de una comparación del contenido de la Decisión impugnada expuesto en el apartado 11 del presente auto, que da instrucciones a las autoridades de control interesadas, y del contenido de la decisión definitiva que tiene como destinataria a WhatsApp, expuesto en el apartado 8 de este auto, la Decisión impugnada tiene un contenido parcial con respecto a la decisión definitiva.

55

Así, las dos decisiones tienen en común la constatación de la violación por parte de WhatsApp del principio de transparencia enunciado en el artículo 5, apartado 1, letra a), y del incumplimiento de las obligaciones establecidas en el artículo 13, apartados 1, letra d), y 2, letra e), del Reglamento 2016/679, la calificación como datos personales de los elementos resultantes del procedimiento denominado «Lossy Hashing Procedure», aplicado a los datos relativos a los «contactos» no usuarios de WhatsApp que figuran en las libretas de direcciones de los terminales de los usuarios de WhatsApp, la declaración del incumplimiento por parte de WhatsApp de obligaciones enunciadas en el artículo 14 del Reglamento 2016/679 debido a dicha calificación, el plazo de tres meses concedido a WhatsApp para conformarse a los requisitos establecidos en el Reglamento 2016/679, determinados aspectos de las medidas correctivas, a saber, las relativas a los datos personales de los no usuarios de WhatsApp y a la obligación de facilitar a los usuarios de WhatsApp la información enunciada en el artículo 13, apartado 2, letra e), del Reglamento 2016/679, la interpretación de los criterios para la cuantía de las multas administrativas impuestas a WhatsApp y el aumento del importe total de dichas multas de entre 30 y 50 millones de euros previsto en el proyecto de decisión de la autoridad de control irlandesa.

56

En cambio, en lo que concierne a los siguientes aspectos, la decisión definitiva es el resultado de la apreciación de la autoridad de control irlandesa, sin que el CEPD hubiera expresado, en la Decisión impugnada, una posición al respecto: la declaración del incumplimiento por parte de WhatsApp de obligaciones enunciadas en los artículos 12, apartado 1, y 13, apartados 1, letras c), e) y f), y 2, letras a) y c), del Reglamento 2016/679; la declaración del cumplimiento por parte de WhatsApp de las obligaciones establecidas en el artículo 13, apartados 1, letras a) y b), y 2, letras b) y d), del Reglamento 2016/679; la condición de WhatsApp al tratar los datos personales de los no usuarios de su mensajería; lo esencial del contenido de las medidas correctivas impuestas a WhatsApp, a saber, las destinadas a garantizar el cumplimiento de las obligaciones que figuran en los artículos 12, apartado 1, y 13, apartados 1, letras c), d), e) y f), y 2, letras a) y c), del Reglamento 2016/679, y la determinación concreta del nivel de las multas administrativas impuestas a WhatsApp, que da lugar a un total de 225 millones de euros.

57

Procede observar, en particular, que la autoridad de control irlandesa hizo uso de su margen de apreciación para extraer las consecuencias de las instrucciones dadas en la Decisión impugnada en lo referente a la calificación como datos personales de los elementos resultantes del procedimiento denominado «Lossy Hashing Procedure» y en lo que atañe a las multas administrativas.

58

Sobre el primer aspecto, es decir, la cuestión del tratamiento de los datos personales de los no usuarios de WhatsApp, en particular, de los elementos resultantes del procedimiento denominado «Lossy Hashing Procedure», tal como se desprende del punto 111 de la decisión definitiva, la etapa siguiente del análisis dirigido a determinar si WhatsApp había incumplido, respecto de esas personas, las obligaciones enunciadas en el artículo 14 del Reglamento 2016/679 se refería a si, en lo que atañe al tratamiento de los datos personales en cuestión, WhatsApp actuaba como responsable o como mera encargada del tratamiento que actuaba por cuenta de un usuario de su mensajería que tuviera activada la función de «contactos». Pues bien, esta etapa del análisis, que concluye acogiendo el primer supuesto, resulta de una apreciación de la autoridad de control irlandesa, sin que el CEPD hubiera expresado en la Decisión impugnada una posición al respecto.

59

En lo que atañe a la determinación de las multas administrativas, si bien la Decisión impugnada contiene instrucciones para la interpretación de los criterios de la cuantía de las multas administrativas impuestas sobre la base del Reglamento 2016/679 y acerca del aumento del importe total de las multas que, en el caso de autos, debían imponerse a WhatsApp en relación con lo previsto en el proyecto de decisión de la autoridad de control irlandesa, esta conservó su margen de apreciación para fijar el importe concreto de las multas que procedía imponer a WhatsApp. Por otra parte, como se ha indicado en el apartado 8 de este auto, antes de adoptar la decisión definitiva, la autoridad de control irlandesa instó a WhatsApp a que presentara sus observaciones sobre las nuevas multas administrativas que pretendía imponerle, lo que es coherente con la declaración de que dicha autoridad conservaba un margen de apreciación a este respecto. En el presente asunto, cabe observar que, en la decisión definitiva, al final se atendió a la parte inferior de la horquilla de las nuevas multas previstas por la autoridad de control irlandesa.

60

Pues bien, la decisión definitiva constituye un todo del que no pueden desvincularse las partes correspondientes a las instrucciones que figuran en la Decisión impugnada formando una «subdecisión» definitiva respecto de la que la autoridad de control no disponía de ningún margen de apreciación. En efecto, la investigación y la decisión definitiva de la autoridad de control irlandesa versaron sobre el respeto por parte de WhatsApp del principio de transparencia y de todas las obligaciones concretas que se derivan de dicho principio enunciadas en el Reglamento 2016/679. Por lo tanto, la práctica general de WhatsApp a este respecto fue analizada en la decisión definitiva y un mismo aspecto de esta práctica fue objeto de examen a la luz de varias disposiciones pertinentes del Reglamento 2016/679, por ejemplo, a la luz de los artículos 5, apartado 1, letra a), y 12, apartado 1, y de las múltiples disposiciones del artículo 13 del Reglamento 2016/679, mientras que la Decisión impugnada solo se refiere al análisis a la luz de algunas de estas disposiciones. No tiene ningún sentido desvincular del análisis global efectuado en la decisión definitiva determinados elementos particulares, cuando el procedimiento incoado contra WhatsApp, a iniciativa y bajo la responsabilidad de la autoridad de control irlandesa como autoridad de control principal, se refería a la apreciación general del respeto por parte de WhatsApp del principio de transparencia. En particular, por lo que respecta a la determinación de las sanciones pecuniarias, la autoridad de control irlandesa fijó el importe de cada una de las cuatro multas administrativas a la luz del conjunto de las infracciones constatadas de los artículos 5, apartado 1, letra a), 12, 13 y 14 del Reglamento 2016/679, respectivamente.

61

Por consiguiente, no se cumple ninguno de los dos requisitos recordados en el apartado 51 del presente auto, que, de cumplirse, permitirían considerar que la Decisión impugnada afecta directamente a WhatsApp.

62

De cuanto antecede se desprende que debe declararse la inadmisibilidad del recurso de WhatsApp.

63

El resultado de este análisis es coherente con lo que se ha podido declarar en otros procedimientos en los que un acto de la Unión de carácter obligatorio relativo a empresas tenía como destinatario a un Estado miembro.

64

Así, en materia de control de las ayudas de Estado, se ha declarado que, cuando la Comisión adopta una decisión por la que se declara ilegal e incompatible con el mercado interior una ayuda ya concedida y ordena al Estado miembro que la ha concedido que recupere las ayudas abonadas, los beneficiarios de esas ayudas están directa e individualmente afectados por dicha decisión (véase, en este sentido, la sentencia de 19 de octubre de 2000, Italia y Sardegna Lines/Comisión, C‑15/98 y C‑105/99, EU:C:2000:570, apartados 33 a 36). A este respecto, se ha observado que, desde el momento de la adopción de una decisión de esta naturaleza, dichos beneficiarios se hallan expuestos a la recuperación de las ventajas que han percibido, lo cual afecta a su situación jurídica (sentencia de 9 de junio de 2011, Comitato Venezia vuole vivere y otros/Comisión, C‑71/09 P, C‑73/09 P y C‑76/09 P, EU:C:2011:368, apartado 56). Esto se debe a que el procedimiento de control ha concluido en esa fase y no se requiere una apreciación adicional en cuanto al fondo, ya que las cantidades que procede recuperar se determinan automáticamente sobre la base de la decisión de la Comisión y de las ayudas anteriormente concedidas a las empresas de que se trate, y el propio Estado miembro está obligado a iniciar y completar la recuperación de dichas ayudas, salvo en circunstancias muy excepcionales (véanse, en este sentido, las sentencias de 7 de junio de 1988, Comisión/Grecia, 63/87, EU:C:1988:285; de 20 de septiembre de 1990, Comisión/Alemania, C‑5/89, EU:C:1990:320, apartados 15 y 16, y de 20 de marzo de 1997, Alcan Deutschland, C‑24/95, EU:C:1997:163), y a que los terceros pueden actuar, sobre la base de la decisión de la Comisión, ante la Administración competente o ante los órganos jurisdiccionales nacionales para obtener la devolución de las ayudas de que se trate, sin tener que soportar ellos mismos la carga de la prueba de que se concedieron ilegalmente (véase, por analogía, la sentencia de 12 de febrero de 2008, CELF y ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, apartados 23 y 39 a 41). En el caso de autos, la Decisión impugnada no se sitúa en una fase análoga, puesto que el procedimiento de control no concluyó con su adopción, la autoridad de control principal aún debía confirmar el cumplimiento por parte de WhatsApp de las disposiciones del Reglamento 2016/679 y la sanción impuesta o realizar apreciaciones adicionales al respecto y la Decisión impugnada no podía servir por sí misma de título jurídicamente vinculante para imponer obligaciones a WhatsApp.

65

También se ha declarado que una decisión de la Comisión que tiene como destinatario a un Estado miembro, por la que se le comunica que una financiación europea en favor de una empresa se ha reducido con respecto a lo previsto debido al carácter no subvencionable de determinados gastos presentados por esa empresa, afecta directa e individualmente a esta última, por cuanto que la decisión en cuestión la priva de una parte de la ayuda financiera que se le había concedido inicialmente, sin que el Estado miembro disponga al respecto de facultad de apreciación alguna (sentencia de 4 de junio de 1992, Infortec/Comisión, C‑157/90, EU:C:1992:243, apartado 17). Sin embargo, en el caso de autos, contrariamente a la decisión de la Comisión que dio lugar a esta apreciación, la Decisión impugnada no es, como se ha señalado en el anterior apartado 52, la última etapa del procedimiento completo de que se trata y, como se ha indicado en los apartados 56 y 57 del presente auto, dejó un margen de apreciación a la autoridad de control irlandesa.

66

De manera más general, la inadmisibilidad del recurso de WhatsApp interpuesto ante el Tribunal General contra la Decisión impugnada se inscribe en la lógica del sistema de recursos jurisdiccionales establecido por el Tratado UE y el Tratado FUE.

67

Como establece el artículo 2 TUE, la Unión se fundamenta, en particular, en el respeto del Estado de Derecho. El artículo 6 TUE, apartado 1, dispone que la Unión reconoce los derechos, libertades y principios enunciados en la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 47 de esta garantiza el derecho a la tutela judicial efectiva y a un juez imparcial. El artículo 19 TUE precisa que el Tribunal de Justicia de la Unión Europea garantizará el respeto del Derecho en la interpretación y aplicación de los Tratados y, en particular, que se pronunciará de conformidad con los Tratados sobre los recursos interpuestos por un Estado miembro, por una institución o por personas físicas o jurídicas y, con carácter prejudicial, a petición de los órganos jurisdiccionales nacionales, sobre la interpretación del Derecho de la Unión o sobre la validez de los actos adoptados por las instituciones y en los demás casos previstos por los Tratados. El mismo artículo dispone que los Estados miembros establecerán las vías de recurso necesarias para garantizar la tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión.

68

Más concretamente, el Tratado FUE, en particular su artículo 263, relativo a los recursos directos ante el Tribunal de Justicia de la Unión Europea, y su artículo 267, referente a los casos en los que este se pronuncia con carácter prejudicial, especialmente sobre la validez y la interpretación de los actos adoptados por las instituciones, órganos u organismos de la Unión, ha establecido un sistema completo de vías de recurso destinado a garantizar el control de la legalidad de los actos de la Unión (véase, en este sentido, la sentencia de 25 de julio de 2002, Unión de Pequeños Agricultores/Consejo, C‑50/00 P, EU:C:2002:462, apartado 40). Participan en este sistema tanto el Tribunal de Justicia de la Unión Europea, del que forma parte el Tribunal General, como los órganos jurisdiccionales nacionales. En este sistema, las personas que, debido a los requisitos de admisibilidad previstos en el artículo 263 TFUE, no puedan impugnar directamente actos de la Unión ante el Tribunal de Justicia de la Unión Europea, tienen la posibilidad de invocar, mediante excepción de ilegalidad, la invalidez de tal acto ante los órganos jurisdiccionales nacionales presentando ante estos un recurso contra las medidas nacionales de aplicación de dicho acto. En esta situación, corresponde al órgano jurisdiccional nacional, si estima necesaria una decisión al respecto para poder emitir su fallo y alberga dudas sobre la validez de dicho acto, plantear una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (véase también, en este sentido y por analogía, la sentencia de 25 de julio de 2002, Unión de Pequeños Agricultores/Consejo, C‑50/00 P, EU:C:2002:462, apartado 40).

69

La lógica de este sistema, que explica particularmente la interpretación de los requisitos de admisibilidad de los recursos directos enunciados en el artículo 263 TFUE, recordada en el análisis que figura en los apartados 35 a 62 del presente auto, consiste en que la acción judicial del Tribunal de Justicia de la Unión Europea y la de los órganos jurisdiccionales nacionales se complementen de manera eficaz y en que el juez de la Unión y el juez nacional no se pronuncien simultáneamente, con ocasión de procedimientos paralelos, sobre la validez de un mismo acto de la Unión, ya sea directamente o, en lo que concierne al órgano jurisdiccional nacional, si se pregunta sobre la validez de un acto controvertido, a raíz de una cuestión prejudicial. Esta lógica ha podido justificar, particularmente, que se declare que una parte demandante que, sin duda alguna, habría podido impugnar directamente una decisión de la Unión ante el Tribunal de Justicia de la Unión Europea ya no puede cuestionar posteriormente la validez de dicha decisión, en particular en el marco de un procedimiento posterior ante el juez nacional (véase, en este sentido, la sentencia de 9 de marzo de 1994, TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, apartado 17; véase asimismo, en este sentido, la sentencia de 9 de junio de 2011, Comitato Venezia vuole vivere y otros/Comisión, C‑71/09 P, C‑73/09 P y C‑76/09 P, EU:C:2011:368, apartado 58 y jurisprudencia citada). A la inversa, se ha declarado reiteradamente que la ilegalidad de un acto de la Unión no impugnable que sirva de fundamento a otro acto puede invocarse con ocasión de un recurso contra ese segundo acto (sentencia de 11 de noviembre de 1981, IBM/Comisión, 60/81, EU:C:1981:264, apartado 12 y, a contrario, las referencias jurisprudenciales anteriores).

70

En el caso de autos, reconocer la admisibilidad del recurso de WhatsApp contra la Decisión impugnada llevaría a que se siguieran dos procedimientos judiciales paralelos con importantes solapamientos, uno ante el Tribunal General, cuestionando la Decisión impugnada, y el otro ante un órgano jurisdiccional irlandés, poniendo en tela de juicio la decisión definitiva, una parte de cuyos motivos se basa en la Decisión impugnada. Por otra parte, WhatsApp alegó, a fin de obtener un plazo para presentar la réplica ante el Tribunal General, la carga de trabajo paralela que le exigía el procedimiento ante el órgano jurisdiccional irlandés que conocía del asunto. Salvo que alguno de los órganos jurisdiccionales que conocen del asunto suspendiera el procedimiento incoado ante él, lo que podría traducirse en una extensión del tiempo necesario para obtener una resolución final sobre la legalidad de la decisión definitiva, estos procedimientos paralelos podrían incluso conducir a una situación en la que se solicitara simultáneamente al Tribunal de Justicia, con carácter prejudicial, y al Tribunal General, mediante el recurso directo de WhatsApp, que se pronunciasen sobre la validez de la Decisión impugnada. Habida cuenta del sistema de vías de recurso mencionado en los apartados 68 y 69 del presente auto y a la vista de lo dispuesto en el artículo 78 del Reglamento 2016/679, relativo al derecho a la tutela judicial efectiva contra una autoridad de control, corresponderá, en su caso, al órgano jurisdiccional irlandés que conoce del asunto, único competente a este respecto, controlar la legalidad de la decisión definitiva oponible a WhatsApp planteando al Tribunal de Justicia de la Unión Europea una cuestión prejudicial relativa a la apreciación de la validez de la Decisión impugnada, si lo considera necesario para pronunciarse sobre el litigio que enfrenta a WhatsApp y a la autoridad de control irlandesa. El órgano jurisdiccional irlandés que conoce del asunto podría, a este respecto, resolver el litigio del que conoce excluyendo la excepción de ilegalidad que podría proponerse contra la Decisión impugnada sin recurrir al Tribunal de Justicia, si no alberga dudas sobre la validez de dicha Decisión, o, por el contrario, acudir al Tribunal de Justicia si alberga tales dudas, o bien resolver el litigio con independencia de la cuestión de la validez de la Decisión impugnada habida cuenta de los motivos invocados ante él. Esta solución es acorde con el interés de una buena administración de justicia en vista de los riesgos generados por los procedimientos judiciales paralelos mencionados al inicio del presente apartado.

71

Por último, en lo que respecta al considerando 143 del Reglamento 2016/679, citado en el apartado 33 del presente auto, que puede dar a entender que un recurso como el que interpuso WhatsApp ante el Tribunal General es admisible, procede señalar que un considerando de un reglamento, si bien puede aclarar la interpretación que ha de darse a una norma jurídica, no constituye, en sí mismo, tal norma y que la exposición de motivos de un acto de la Unión no tiene un valor jurídico vinculante (véase la sentencia de 26 de octubre de 2017, Marine Harvest/Comisión, T‑704/14, EU:T:2017:753, apartado 150 y jurisprudencia citada; véase asimismo, en este sentido, la sentencia de 24 de noviembre de 2005, Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, apartado 32 y jurisprudencia citada). Ahora bien, como se ha señalado en los apartados 32 y 35 del presente auto, en el caso de autos, este considerando no constituye el soporte de ninguna disposición del Reglamento 2016/679. Además, una explicación que figura en la exposición de motivos de un reglamento no puede prevalecer sobre las normas de Derecho primario aplicables que figuran en los Tratados, en este caso sobre las de los párrafos primero y cuarto del artículo 263 TFUE, cuyo contenido esencial se recuerda, además, parcialmente en el considerando en cuestión, al indicar, en la primera frase, que «toda persona física o jurídica tiene derecho a interponer ante el Tribunal de Justicia recurso de anulación de decisiones del Comité, en las condiciones establecidas en el artículo 263 TFUE».

72

De las consideraciones anteriores se deduce que procede declarar la inadmisibilidad del recurso.

73

Conforme al artículo 142, apartado 2, del Reglamento de Procedimiento, la intervención es accesoria con respecto al litigio principal y queda sin objeto, en particular, cuando se declare la inadmisibilidad de la demanda.

74

Por consiguiente, no procede pronunciarse sobre las demandas de intervención ni sobre las solicitudes de protección de la confidencialidad de los elementos del expediente que se han presentado.

75

A tenor del artículo 134, apartado 1, del Reglamento de Procedimiento, la parte que haya visto desestimadas sus pretensiones será condenada en costas, si así lo hubiera solicitado la otra parte. Por haber sido desestimadas las pretensiones formuladas por WhatsApp, procede condenarla en costas, conforme a lo solicitado por el CEPD, sin perjuicio de lo que se indica en el siguiente apartado 76.

76

Por otra parte, de conformidad con el artículo 144, apartado 10, del Reglamento de Procedimiento, si se pone fin al proceso en el asunto principal antes de que se haya decidido sobre una demanda de intervención, la persona que solicitaba intervenir y las partes principales cargarán con las costas relativas a dicha demanda, soportando cada una sus propias costas. En el caso de autos, WhatsApp, el CEPD, la República de Finlandia, la Comisión, el Supervisor Europeo de Protección de Datos y la Computer & Communication Industry Association cargarán con sus propias costas relativas a las demandas de intervención.

En virtud de todo lo expuesto,

EL TRIBUNAL GENERAL (Sala Cuarta ampliada)

resuelve: