–

em representação de J.M., por ele próprio,

–

em representação do Apulaistietosuojavaltuutettu, por A. Talus, tietosuojavaltuutettu,

–

em representação do Pankki S, por T. Kalliokoski e J. Lång, asianajajat, e por E.‑L. Hokkonen, oikeustieteen maisteri,

–

em representação do Governo finlandês, por A. Laine e H. Leppo, na qualidade de agentes,

–

em representação do Governo checo, por A. Edelmannová, M. Smolek e J. Vláčil, na qualidade de agentes,

–

em representação do Governo austríaco, por A. Posch, na qualidade de agente,

–

em representação da Comissão Europeia, por A. Bouchagiar, H. Kranenborg e I. Söderlund, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 15.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um processo instaurado por J.M. destinado a obter a anulação da Decisão do Apulaistietosuojavaltuutettu (Supervisor Adjunto para a Proteção de Dados, Finlândia) que rejeitou o seu pedido para que se ordene ao Pankki S, instituição bancária com sede na Finlândia, que lhe comunique determinadas informações relativas a operações de consulta dos seus dados pessoais.

3

Os considerandos 4, 10, 11, 26, 39, 58, 60, 63 e 74 do RGPD enunciam:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

O artigo 1.o do RGPD, sob a epígrafe «Objeto e objetivos», dispõe, no seu n.o 2:

«O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.»

5

O artigo 4.o deste regulamento prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]

[…]»

6

O artigo 5.o do referido regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», tem a seguinte redação:

«1.   Os dados pessoais são:

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

7

O artigo 12.o do RGPD, sob a epígrafe «Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados», enuncia:

«1.   O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, […] As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. […]

[…]

5.   […] Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:

[…]

Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

[…]»

8

O artigo 15.o deste regulamento, sob a epígrafe «Direito de acesso do titular dos dados», dispõe:

«1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:

[…]

3.   O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. […]

4.   O direito de obter uma cópia a que se refere o n.o 3 não prejudica os direitos e as liberdades de terceiros.»

9

Os artigos 16.o e 17.o do referido regulamento consagram, respetivamente, o direito de o titular dos dados obter a retificação dos dados pessoais inexatos (direito de retificação), bem como o direito, em determinadas circunstâncias, ao apagamento desses dados (direito ao apagamento dos dados ou «direito a ser esquecido»).

10

O artigo 18.o do mesmo regulamento, sob a epígrafe «Direito à limitação do tratamento», dispõe, no seu n.o 1:

«O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se aplicar uma das seguintes situações:

11

O artigo 21.o do RGPD, sob a epígrafe «Direito de oposição», prevê, no seu n.o 1:

«O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f), ou no artigo 6.o, n.o 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.»

12

Em conformidade com o artigo 24.o, n.o 1, deste regulamento:

«Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. […]»

13

O artigo 29.o do referido regulamento, sob a epígrafe «Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante», tem a seguinte redação:

«O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não procede ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se a tal for obrigado por força do direito da União ou dos Estados‑Membros.»

14

O artigo 30.o do RGPD, sob a epígrafe «Registos das atividades de tratamento», prevê:

«1.   Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. […]

[…]

4.   O responsável pelo tratamento e, sendo caso disso, […] o [seu] representante […] disponibilizam, a pedido, o registo à autoridade de controlo.

[…]»

15

O artigo 58.o deste regulamento, sob a epígrafe «Poderes», dispõe, no seu n.o 1:

«Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

[…]»

16

O artigo 77.o do referido regulamento, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», especifica o seguinte:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2.   A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78.o»

17

O artigo 79.o do RGPD, sob a epígrafe «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», enuncia, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

18

O artigo 82.o deste regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», prevê, no seu n.o 1:

«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»

19

Em conformidade com o seu artigo 99.o, n.o 2, o RGPD começou a ser aplicável a partir de 25 de maio de 2018.

20

Durante o ano de 2014, J.M., então empregado e cliente do Pankki S, teve conhecimento de que os seus próprios dados de cliente tinham sido consultados por membros do pessoal do banco, várias vezes, no período compreendido entre 1 de novembro e 31 de dezembro de 2013.

21

Tendo dúvidas quanto à licitude dessas consultas, J.M., que entretanto tinha sido despedido do seu emprego no Pankki S, pediu a este último, em 29 de maio de 2018, que lhe comunicasse a identidade das pessoas que tinham consultado os seus dados de cliente, as datas exatas das consultas e as finalidades do tratamento dos referidos dados.

22

Na sua resposta de 30 de agosto de 2018, o Pankki S, na sua qualidade de responsável pelo tratamento na aceção do artigo 4.o, ponto 7, do RGPD, recusou comunicar a identidade dos empregados que tinham realizado as operações de consulta com o fundamento de que essas informações constituírem dados pessoais desses empregados.

23

Todavia, nessa resposta, o Pankki S prestou esclarecimentos sobre as operações de consulta efetuadas, sob as suas instruções, pelo seu serviço de auditoria interna. Assim, explicou que um cliente do banco de que J.M. era o gestor de conta era credor de uma pessoa que tinha o mesmo nome patronímico de J.M., pelo que tinha pretendido clarificar se o recorrente no processo principal e o devedor em questão eram a mesma pessoa e se podia ter havido uma eventual relação de conflito de interesses inadequada. O Pankki S acrescentou que o esclarecimento desta questão exigira que se procedesse ao tratamento dos dados de J.M. e que cada um dos membros do pessoal do banco que procederam ao tratamento desses dados tinha apresentado ao serviço de auditoria interna uma declaração sobre os motivos desse tratamento de dados. Além disso, o banco declarou que essas consultas tinham permitido afastar qualquer suspeita de conflito de interesses relativamente a J.M.

24

J.M. submeteu o caso ao Tietosuojavaltuutetun Toimisto (Gabinete do Supervisor para a Proteção de Dados, Finlândia), a autoridade de controlo na aceção do artigo 4.o, ponto 21, do RGPD, requerendo que se ordenasse ao Pankki que lhe transmitisse as informações pedidas.

25

Por Decisão de 4 de agosto de 2020, o Supervisor Adjunto para a Proteção de Dados rejeitou o pedido de J.M. Explicou que o objetivo de tal pedido era permitir‑lhe aceder aos ficheiros de registos dos empregados que tinham tratado os seus dados, enquanto, por força da sua prática decisória, tais ficheiros constituem dados pessoais relativos não à pessoa em causa, mas aos empregados que trataram os dados dessa pessoa.

26

J.M. interpôs recurso dessa decisão para o órgão jurisdicional de reenvio.

27

Esse órgão jurisdicional recorda que o artigo 15.o do RGPD prevê o direito de o titular dos dados obter do responsável pelo tratamento o acesso aos dados tratados que lhe digam respeito, bem como as informações relativas, nomeadamente, às finalidades do tratamento e aos destinatários dos dados. Interroga‑se sobre se a comunicação dos ficheiros de registos gerados por ocasião das operações de tratamento, que contêm tais informações, nomeadamente a identidade dos empregados do responsável pelo tratamento, está abrangida pelo artigo 15.o do RGPD, uma vez que esses ficheiros podem relevar‑se necessários para o titular dos dados apreciar a licitude do tratamento de que os seus dados foram objeto.

28

Nestas condições, o Itä‑Suomen hallinto‑oikeus (Tribunal Administrativo da Finlândia Oriental, Finlândia) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

29

Com a sua quarta questão, que importa examinar em primeiro lugar, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 15.o do RGPD, lido à luz do artigo 99.o, n.o 2, deste regulamento, se aplica a um pedido de acesso às informações referidas na primeira destas disposições quando as operações de tratamento abrangidas por esse pedido tenham sido efetuadas antes da data em que o referido regulamento começou a ser aplicável, mas o pedido tenha sido apresentado após essa data.

30

Para responder a esta questão, importa salientar que, por força do artigo 99.o, n.o 2, do RGPD, este é aplicável a partir de 25 de maio de 2018.

31

Ora, no caso em apreço, resulta da decisão de reenvio que as operações de tratamento de dados pessoais em causa no processo principal foram efetuadas entre 1 de novembro de 2013 e 31 de dezembro de 2013, ou seja, antes da data em que o RGPD começou a ser aplicável. Todavia, resulta igualmente dessa decisão que J.M. apresentou o seu pedido de informações ao Pankki S depois dessa data, a saber, em29 de maio de 2018.

32

A este respeito, há que recordar que as regras processuais são aplicáveis, geralmente, a partir da data em que entram em vigor, diferentemente das regras substantivas que são habitualmente interpretadas no sentido de que só se aplicam a situações surgidas e definitivamente adquiridas antes da sua entrada em vigor na medida em que resulte claramente dos seus termos, da sua finalidade ou da sua sistemática que esse efeito lhes deve ser atribuído (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.o 100).

33

No caso em apreço, resulta da decisão de reenvio que o pedido de J.M. para que lhe fossem comunicadas as informações em causa no processo principal está relacionado com o artigo 15.o, n.o 1, do RGPD, que prevê o direito de o titular dos dados aceder aos dados pessoais que lhe digam respeito e que são objeto de tratamento, bem como às informações referidas nesta disposição.

34

Há que constatar que a referida disposição não se refere às condições de licitude do tratamento de que são objeto os dados pessoais do titular dos dados. Com efeito, o artigo 15.o, n.o 1, do RGPD limita‑se a especificar o alcance do direito de acesso desse titular aos dados e às informações a que o mesmo se refere.

35

Daqui resulta, como salientou o advogado‑geral no n.o 33 das suas conclusões, que o artigo 15.o, n.o 1, do RGPD confere aos titulares dos dados um direito de caráter processual que consiste em obter informações sobre o tratamento dos seus dados pessoais. Enquanto regra processual, esta disposição aplica‑se aos pedidos de acesso apresentados a partir da data em que este regulamento começou a ser aplicável, como o pedido de J.M.

36

Nestas condições, há que responder à quarta questão que o artigo 15.o do RGPD, lido à luz do artigo 99.o, n.o 2, deste regulamento, deve ser interpretado no sentido de que se aplica a um pedido de acesso às informações referidas nesta disposição quando as operações de tratamento abrangidas por esse pedido tenham sido efetuadas antes da data em que o referido regulamento começou a ser aplicável, mas o pedido tenha sido apresentado após essa data.

37

Com a sua primeira e segunda questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 15.o, n.o 1, do RGPD deve ser interpretado no sentido de que as informações relativas a operações de consulta de dados pessoais de uma pessoa sobre as datas e as finalidades dessas operações, bem como sobre a identidade das pessoas singulares que realizaram essas operações, constituem informações que essa pessoa tem o direito de obter do responsável pelo tratamento ao abrigo desta disposição.

38

A título preliminar, há que recordar que, segundo jurisprudência constante, a interpretação de uma disposição do direito da União exige que se tenha em conta não só os seus termos mas também o contexto em que se insere e os objetivos e a finalidade prosseguidos pelo ato de que faz parte [Acórdão de 12 de janeiro de 2023, Österreichische Post (Informações relativas aos destinatários de dados pessoais), C‑154/21, EU:C:2023:3, n.o 29].

39

No que respeita, antes de mais, aos termos do artigo 15.o, n.o 1, do RGPD, esta disposição enuncia que o titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos referidos dados pessoais, bem como às informações relativas, nomeadamente, às finalidades do tratamento dos dados e aos destinatários ou categorias de destinatários a quem esses dados pessoais foram ou serão divulgados.

40

A este respeito, importa sublinhar que os conceitos que figuram no artigo 15.o, n.o 1, do RGPD estão definidos no artigo 4.o deste regulamento.

41

Assim, em primeiro lugar, o artigo 4.o, ponto 1, do RGPD, indica que se entende por dados pessoais a «informação relativa a uma pessoa singular identificada ou identificável» e especifica que «é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».

42

A utilização do termo «informação» na definição do conceito de «dados pessoais», que figura nesta disposição, reflete o objetivo do legislador da União de atribuir um sentido amplo a este conceito, o qual abrange potencialmente qualquer tipo de informações, tanto objetivas como subjetivas, sob a forma de opiniões ou de apreciações, desde que «digam respeito» à pessoa em causa (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, С‑487/21, EU:C:2023:369, n.o 23).

43

A este respeito, foi declarado que uma informação diz respeito a uma pessoa singular identificada ou identificável quando, devido ao seu conteúdo, à sua finalidade ou ao seu efeito, está relacionada com uma pessoa identificável (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 24).

44

Quanto ao caráter «identificável» de uma pessoa, o considerando 26 do RGPD especifica que importa considerar «todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular».

45

Daqui resulta que a definição ampla do conceito de «dados pessoais» não abrange apenas os dados recolhidos e conservados pelo responsável pelo tratamento, mas inclui igualmente todas as informações resultantes de um tratamento de dados pessoais que digam respeito a uma pessoa identificada ou identificável. (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 26).

46

Em segundo lugar, no que respeita ao conceito de «tratamento», conforme definido no artigo 4.o, ponto 2, do RGPD, há que declarar que, com a utilização da expressão «uma operação», o legislador da União pretendeu dar a este conceito um alcance amplo ao recorrer a uma enumeração não exaustiva de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, que abrangem, entre outros, a recolha, o registo, a conservação ou ainda a consulta. (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 27).

47

Em terceiro lugar, o artigo 4.o, ponto 9, do RGPD precisa que, por «destinatário», se deve entender «uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro».

48

A este respeito, o Tribunal de Justiça declarou que o titular dos dados tem o direito de obter do responsável pelo tratamento informações sobre os destinatários concretos a quem os dados pessoais que lhe digam respeito foram ou serão divulgados [Acórdão de 12 de janeiro de 2023, Österreichische Post (Informações relativas aos destinatários de dados pessoais), C‑154/21, EU:C:2023:3, n.o 46].

49

Por conseguinte, decorre da análise textual do artigo 15.o, n.o 1, do RGPD e dos conceitos que este comporta que o direito de acesso que esta disposição reconhece ao titular dos dados se caracteriza pelo amplo alcance das informações que o responsável pelo tratamento dos dados deve fornecer a esse titular.

50

No que respeita, em seguida, ao contexto em que se inscreve o artigo 15.o, n.o 1, do RGPD, importa recordar, em primeiro lugar, que o considerando 63 deste regulamento prevê que cada titular de dados deverá ter o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais são tratados, quando possível do período durante o qual os dados são tratados e da identidade dos destinatários dos dados pessoais.

51

Em segundo lugar, o considerando 60 do RGPD enuncia que os princípios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da operação de tratamento de dados e das suas finalidades, sublinhando‑se que o responsável pelo tratamento deverá fornecer ao titular as informações adicionais necessárias para assegurar um tratamento equitativo e transparente tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais forem tratados. Por outro lado, em conformidade com o princípio da transparência, mencionado pelo órgão jurisdicional de reenvio, ao qual o considerando 58 do RGPD faz referência e que é expressamente consagrado no artigo 12.o, n.o 1, deste regulamento, qualquer informação destinada ao titular dos dados deve ser concisa, de fácil acesso e compreensão, bem como formulada numa linguagem clara e simples.

52

A este respeito, o artigo 12.o, n.o 1, do RGPD especifica que as informações devem ser prestadas pelo responsável pelo tratamento por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos, a menos que o titular dos dados solicite que sejam prestadas oralmente. O objetivo desta disposição, que é uma expressão do princípio da transparência, é assegurar que o titular dos dados tem plena compreensão das informações que lhe são transmitidas (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, n.o 38 e jurisprudência referida).

53

Decorre da análise contextual que precede que o artigo 15.o, n.o 1, do RGPD constitui uma das disposições destinadas a garantir que as modalidades através das quais os dados são tratados sejam transparentes para o titular dos dados.

54

Por último, esta interpretação do alcance do direito de acesso previsto no artigo 15.o, n.o 1, do RGPD é corroborada pelos objetivos prosseguidos por este regulamento.

55

Com efeito, primeiro, este tem por finalidade, como indicam os seus considerandos 10 e 11, assegurar um nível de proteção coerente e elevado das pessoas singulares na União e reforçar e especificar os direitos dos titulares dos dados.

56

Além disso, como resulta do considerando 63 do RGPD, o direito de um titular aceder aos seus próprios dados pessoais e às outras informações referidas no artigo 15.o, n.o 1, deste regulamento tem por objetivo, antes de mais, permitir a essa pessoa tomar conhecimento do tratamento e verificar a sua licitude. Daqui decorre, segundo esse considerando e como indicado no n.o 50 do presente acórdão, que cada titular de dados deverá ter o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais são tratados, quando possível do período durante o qual os dados são tratados, da identidade dos destinatários desses dados e da lógica subjacente ao seu tratamento.

57

Segundo, importa recordar, a este respeito, que o Tribunal de Justiça já declarou que o direito de acesso previsto no artigo 15.o do RGPD deve permitir ao titular dos dados verificar que os dados pessoais que lhe dizem respeito são exatos e que são tratados de forma lícita (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 34).

58

Em especial, esse direito de acesso é necessário para permitir ao titular dos dados exercer, se for caso disso, o seu direito à retificação, o seu direito ao apagamento dos dados («direito a ser esquecido») e o seu direito à limitação do tratamento, que lhe são reconhecidos, respetivamente, pelos artigos 16.o a 18.o do RGDP, o seu direito de oposição ao tratamento dos seus dados pessoais, previsto no artigo 21.o do RGPD, assim como o seu direito à ação judicial quando sofra um dano, previsto nos artigos 79.o e 82.o do RGPD (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 35 e jurisprudência referida).

59

Por conseguinte, o artigo 15.o, n.o 1, do RGPD constitui uma das disposições destinadas a garantir que as modalidades através das quais os dados são tratados sejam transparentes para o titular dos dados [Acórdão de 12 de janeiro de 2023, Österreichische Post (Informações relativas aos destinatários de dados pessoais), C‑154/21, EU:C:2023:3, n.o 42], transparência sem a qual este não poderia apreciar a licitude do tratamento dos seus dados nem exercer as prerrogativas previstas, nomeadamente, nos artigos 16.o a 18.o, 21.o, 79.o e 82.o deste regulamento.

60

No caso em apreço, resulta da decisão de reenvio que J.M. pediu ao Pankki S que lhe comunicasse informações relativas às operações de consulta de que foram objeto os seus dados pessoais entre 1 de novembro de 2013 e 31 de dezembro de 2013, informações sobre as datas dessas consultas, as suas finalidades e a identidade das pessoas que procederam às referidas consultas. O órgão jurisdicional de reenvio indica que a transmissão dos ficheiros de registos gerados por ocasião das referidas operações permitiria responder ao pedido de J.M.

61

Neste caso concreto, não é contestado que as operações de consulta de que foram objeto os dados pessoais do recorrente no processo principal constituem um «tratamento» na aceção do artigo 4.o, ponto 2, do RGPD, pelo que conferem a este, por força do artigo 15.o, n.o 1, deste regulamento, não só um direito de acesso a esses dados pessoais, mas também um direito a que lhe sejam comunicadas as informações relacionadas com essas operações, conforme mencionadas nesta última disposição.

62

Quanto às informações conforme solicitadas por J.M., a comunicação, antes de mais, das datas das operações de consulta é suscetível de permitir ao titular dos dados obter a confirmação de que os seus dados pessoais foram efetivamente objeto de tratamento num dado momento. Além disso, uma vez que as condições de licitude previstas nos artigos 5.o e 6.o do RGPD devem estar satisfeitas no momento do próprio tratamento, a data deste constitui um elemento que permite verificar a sua licitude. Em seguida, importa salientar que a informação relativa às finalidades dos tratamentos está expressamente prevista no artigo 15.o, n.o 1, alínea a), deste regulamento. Por último, o artigo 15.o, n.o 1, alínea c), do referido regulamento prevê que o responsável pelo tratamento informa o titular dos dados sobre os destinatários a quem os seus dados foram divulgados.

63

No que respeita, mais especificamente, à comunicação de todas estas informações através do fornecimento dos ficheiros de registos relativos às operações de tratamento em causa no processo principal, há que salientar que o artigo 15.o, n.o 3, primeiro período, do RGPD enuncia que o responsável pelo tratamento «fornece uma cópia dos dados pessoais em fase de tratamento».

64

A este respeito, o Tribunal de Justiça já declarou que o conceito de «cópia» assim utilizado designa a reprodução ou a transcrição fiel de um original, pelo que uma descrição puramente geral dos dados objeto de tratamento ou uma remissão para categorias de dados pessoais não corresponde a esta definição. Além disso, resulta da letra do artigo 15.o, n.o 3, primeiro período, deste regulamento que a obrigação de comunicação está associada aos dados pessoais objeto do tratamento em causa (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 21).

65

A cópia que o responsável pelo tratamento é obrigado a fornecer deve conter todos os dados pessoais objeto de tratamento, apresentar todas as características que permitam ao titular dos dados exercer efetivamente os seus direitos ao abrigo do referido regulamento e, por conseguinte, reproduzir integral e fielmente esses dados (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.os 32 e 39).

66

Para garantir que as informações assim fornecidas sejam de fácil compreensão, como exige o artigo 12.o, n.o 1, do RGPD, lido em conjugação com o considerando 58 deste regulamento, a reprodução de extratos de documentos ou mesmo de documentos completos ou ainda de extratos de bases de dados que contenham, nomeadamente, os dados pessoais objeto de tratamento pode revelar‑se indispensável no caso de a contextualização dos dados tratados ser necessária para assegurar a sua inteligibilidade. Em particular, quando os dados pessoais são gerados a partir de outros dados ou quando resultam de campos livres, a saber, uma falta de indicação que revele uma informação sobre o titular dos dados, o contexto em que esses dados são objeto de tratamento é um elemento indispensável para permitir ao titular dos dados dispor de um acesso transparente e de uma apresentação inteligível desses dados (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.os 41 e 42).

67

No caso em apreço, como salientou o advogado‑geral nos n.os 88 a 90 das suas conclusões, os ficheiros de registos, que contêm as informações solicitadas por J.M., correspondem a registos de atividades, na aceção do artigo 30.o do RGPD. Deve considerar‑se que estão abrangidos pelas medidas, mencionadas no considerando 74 deste regulamento, executadas pelo responsável pelo tratamento para efeitos de demonstrar a conformidade das atividades de tratamento com o referido regulamento. O artigo 30.o, n.o 4, do mesmo regulamento especifica, em especial, que devem ser disponibilizados, a pedido, à autoridade de controlo.

68

Na medida em que esses registos de atividades não contenham informações relativas a uma pessoa singular identificada ou identificável na aceção da jurisprudência recordada nos n.os 42 e 43 do presente acórdão, apenas permitem ao responsável pelo tratamento cumprir as suas obrigações para com a autoridade de controlo que solicite o seu fornecimento.

69

No que respeita mais especificamente aos ficheiros de registos do responsável pelo tratamento, a comunicação de uma cópia das informações que figuram nesses ficheiros pode revelar‑se necessária para cumprir a obrigação de dar ao titular dos dados o acesso a todas as informações referidas no artigo 15.o, n.o 1, do RGPD e para garantir um tratamento equitativo e transparente, permitindo‑lhe assim fazer valer plenamente os direitos que lhe são conferidos por este regulamento.

70

Com efeito, primeiro, tais ficheiros revelam a existência de um tratamento de dados, informação a que o titular dos dados deve ter acesso por força do artigo 15.o, n.o 1, do RGPD. Além disso, informam sobre a frequência e a intensidade das operações de consulta, permitindo assim ao titular dos dados assegurar‑se de que o tratamento efetuado é efetivamente motivado pelas finalidades apresentadas pelo responsável pelo tratamento.

71

Segundo, esses ficheiros contêm as informações relativas à identidade das pessoas que procederam às operações de consulta.

72

No caso em apreço, resulta da decisão de reenvio que as pessoas que procederam às operações de consulta em causa no processo principal são empregados do Pankki S que agiram sob a sua autoridade e em conformidade com as suas instruções.

73

Embora resulte do artigo 15.o, n.o 1, alínea c), do RGPD que o titular dos dados tem o direito de obter do responsável pelo tratamento as informações relativas aos destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, os empregados do responsável pelo tratamento não podem ser considerados «destinatários» na aceção do artigo 15.o, n.o 1, alínea c), do RGPD, conforme recordado nos n.os 47 e 48 do presente acórdão, quando tratam dados pessoais sob a autoridade do referido responsável e em conformidade com as suas instruções, como salientou o advogado‑geral no n.o 63 das suas conclusões.

74

A este respeito, importa sublinhar que, em conformidade com o artigo 29.o do RGPD, qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento, tenha acesso a dados pessoais só pode proceder ao tratamento desses dados por instrução do responsável pelo tratamento.

75

Dito isto, as informações contidas nos ficheiros de registos relativas às pessoas que procederam a consultas dos dados pessoais do titular dos dados podem constituir informações abrangidas pelas informações referidas no artigo 4.o, ponto 1, do RGPD, conforme recordadas no n.o 41 do presente acórdão, suscetíveis de lhe permitir verificar a licitude do tratamento de que foram objeto os seus dados e, nomeadamente, de se assegurar de que as operações de tratamento foram efetivamente realizadas sob a autoridade do responsável pelo tratamento e em conformidade com as suas instruções.

76

No entanto, primeiro, resulta da decisão de reenvio que as informações que figuram em ficheiros de registos, como os que estão em causa no processo principal, permitem identificar os empregados que realizaram as operações de tratamento e contêm dados pessoais desses empregados na aceção do artigo 4.o, ponto 1, do RGPD.

77

A este respeito, importa recordar que, no que respeita ao direito de acesso previsto no artigo 15.o do RGPD, o considerando 63 deste regulamento especifica que «[e]sse direito não deverá prejudicar os direitos ou as liberdades de terceiros».

78

Com efeito, por força do considerando 4 do RGPD, o direito à proteção de dados pessoais não é absoluto visto que deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 172).

79

Ora, mesmo admitindo que a comunicação das informações relativas à identidade dos empregados do responsável pelo tratamento ao titular dos dados objeto de tratamento seja necessária para este último se certificar da licitude do tratamento dos seus dados pessoais, esta comunicação é, no entanto, suscetível de violar os direitos e as liberdades desses empregados.

80

Nestas condições, em caso de conflito entre, por um lado, o exercício de um direito de acesso que garanta o efeito útil dos direitos reconhecidos pelo RGPD ao titular dos dados e, por outro, os direitos ou as liberdades de terceiros, é necessário encontrar um equilíbrio entre os direitos e as liberdades em questão. Sempre que possível, é necessário optar por formas que não violem os direitos ou as liberdades de terceiros, tendo em conta que, como referido no considerando 63 do RGPD, tais considerações não devem «resultar na recusa de prestação de todas as informações ao titular dos dados». (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 44).

81

Não obstante, segundo, resulta da decisão de reenvio que J.M. não solicita a comunicação das informações relativas à identidade dos empregados do Pankki S que procederam às operações de consulta dos seus dados pessoais por não terem efetivamente agido sob a autoridade e em conformidade com as instruções do responsável pelo tratamento, mas parece duvidar da veracidade das informações relativas à finalidade dessas consultas que lhe foram comunicadas pelo Pankki S.

82

Nestas circunstâncias, se o titular dos dados considerar que as informações comunicadas pelo responsável pelo tratamento são insuficientes para lhe permitir dissipar as dúvidas que tem quanto à licitude do tratamento de que foram objeto os seus dados pessoais, dispõe, com base no artigo 77.o, n.o 1, do RGPD, do direito de apresentar uma reclamação à autoridade de controlo, a qual dispõe do poder, por força do artigo 58.o, n.o 1, alínea a), deste regulamento, de ordenar que o responsável pelo tratamento lhe forneça as informações de que necessite para examinar a reclamação do titular dos dados.

83

Resulta das considerações precedentes que o artigo 15.o, n.o 1, do RGPD deve ser interpretado no sentido de que as informações relativas a operações de consulta dos dados pessoais de um titular, sobre as datas e as finalidades dessas operações, constituem informações que esse titular tem o direito de obter do responsável pelo tratamento ao abrigo desta disposição. Em contrapartida, a referida disposição não consagra esse direito no que respeita às informações relativas à identidade dos empregados do referido responsável que procederam a essas operações sob a sua autoridade e em conformidade com as suas instruções, a menos que essas informações sejam indispensáveis para permitir ao titular dos dados exercer efetivamente os direitos que lhe são conferidos por este regulamento e desde que sejam tidos em conta os direitos e as liberdades desses empregados.

84

Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se a circunstância, por um lado, de o responsável pelo tratamento exercer uma atividade bancária no âmbito de uma missão regulamentada e, por outro, de o titular cujos dados pessoais foram tratados na sua qualidade de cliente do responsável pelo tratamento ter sido igualmente empregado desse responsável é relevante para efeitos da definição do alcance do direito de acesso que lhe é reconhecido pelo artigo 15.o, n.o 1, do RGPD.

85

Antes de mais, importa sublinhar que, no que respeita ao âmbito de aplicação do direito de acesso previsto no artigo 15.o, n.o 1, do RGPD, nenhuma disposição deste regulamento distingue em função da natureza das atividades do responsável pelo tratamento ou da qualidade do titular cujos dados pessoais são objeto de tratamento.

86

No que respeita, por um lado, ao caráter regulamentado da atividade do Pankki S, é certo que o artigo 23.o do RGPD permite aos Estados‑Membros limitar, por medida legislativa, o alcance das obrigações e dos direitos previstos, nomeadamente, no artigo 15.o deste regulamento.

87

Todavia, não resulta da decisão de reenvio que a atividade do Pankki S seja objeto de legislação desse tipo.

88

No que respeita, por outro lado, à circunstância de J.M. ter sido simultaneamente cliente e empregado do Pankki S, importa salientar que, tendo em conta não só os objetivos do RGPD mas também o alcance do direito de acesso de que beneficia o titular dos dados, conforme recordados nos n.os 49 e 55 a 59 do presente acórdão, o contexto em que esse titular pede o acesso às informações referidas no artigo 15.o, n.o 1, do RGPD não pode exercer nenhum impacto no alcance desse direito.

89

Por conseguinte, o artigo 15.o, n.o 1, do RGPD deve ser interpretado no sentido de que a circunstância de o responsável pelo tratamento exercer uma atividade bancária no âmbito de uma missão regulamentada e de o titular cujos dados pessoais foram tratados na sua qualidade de cliente do responsável pelo tratamento ter sido igualmente empregado desse responsável não tem, em princípio, impacto no alcance do direito de que esse titular beneficia ao abrigo desta disposição.

90

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara: