–

em representação da Deutsche Wohnen SE, por O. Geiss, K. Mertens, N. Venn e T. Wybitul, Rechtsanwälte,

–

em representação do Governo Alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

–

em representação do Governo Estónio, por M. Kriisa, na qualidade de agente,

–

em representação do Governo Neerlandês, por C. S. Schillemans, na qualidade de agente,

–

em representação do Governo Norueguês, por L.‑M. Moen Jünge, M. Munthe‑Kaas e T. Westhagen Edell, na qualidade de agentes,

–

em representação do Parlamento Europeu, por G. C. Bartram e P. López‑Carceller, na qualidade de agentes,

–

em representação do Conselho da União Europeia, por J. Bauerschmidt e K. Pleśniak, na qualidade de agentes,

–

em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher, H. Kranenborg e G. Meessen, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 83.o, n.os 4 a 6, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Deutsche Wohnen SE (a seguir «DW») ao Staatsanwaltschaft Berlin (Ministério Público de Berlim, Alemanha) a respeito de uma coima aplicada à DW, nos termos do artigo 83.o do RGPD, por violação do artigo 5.o, n.o 1, alíneas a), c) e e), do artigo 6.o e do artigo 25.o, n.o 1, deste regulamento.

3

Os considerandos 9, 10, 11, 13, 74, 129 e 150 do RGPD enunciam:

[…]

[…]

[…]

[…]

4

Nos termos do artigo 4.o deste regulamento:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]»

5

O artigo 58.o do referido regulamento, com a epígrafe «Poderes», prevê, nos n.os 2 e 4:

«2.   Cada autoridade de controlo dispõe dos seguintes poderes de correção:

[…]

[…]

[…]

[…]

4.   O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados‑Membros, em conformidade com a [Carta dos Direitos Fundamentais da União Europeia].»

6

O artigo 83.o do mesmo regulamento, com a epígrafe «Condições gerais para a aplicação de coimas», tem a seguinte redação:

«1.   Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2.   Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

3.   Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10000000 [euros] ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

[…]

5.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20000000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

6.   O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20000000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

7.   Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados‑Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.

8.   O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados‑Membros, incluindo o direito à ação judicial e a um processo equitativo.

[…]»

7

O § 41, n.o 1, primeiro período, da Bundesdatenschutzgesetz (Lei Federal sobre a Proteção de Dados), de 30 de junho de 2017 (BGBl. 2017 I, p. 2097), prevê que, salvo disposição em contrário desta lei, as disposições da Gesetz über Ordnungswidrigkeiten (Lei relativa às Infrações Administrativas), de 24 de maio de 1968 (BGBl. 1968 I, p. 481), na versão da comunicação de19 de fevereiro de 1987 (BGBl. 1987 I, p. 602), conforme alterada pela Lei de 19 de junho de 2020 (BGBl. 2020 I, p. 1350, a seguir «OWiG»), são aplicáveis às infrações previstas no artigo 83.o, n.os 4 a 6, do RGPD.

8

O § 30 da OWiG, sob a epígrafe «Coimas aplicadas a pessoas coletivas e associações de pessoas», dispõe:

«1.   Quando uma pessoa que atue

tenha cometido uma infração penal ou administrativa, de modo que não tenham sido cumpridas obrigações que incumbem à pessoa coletiva ou à associação de pessoas ou que essa pessoa coletiva ou associação de pessoas tenha enriquecido ou se considere que enriqueceu, pode ser aplicada uma coima a essa pessoa coletiva ou associação de pessoas.

[…]

4.   Se a infração penal ou administrativa não der lugar à instauração de um processo penal ou de um processo contraordenacional administrativo, ou se esse processo for arquivado ou se renunciar a qualquer pena, a coima pode ser aplicada de forma independente. A lei pode igualmente prever a possibilidade de aplicar a coima de forma independente noutros casos. Todavia, está excluída a aplicação de uma coima de forma independente à pessoa coletiva ou à associação de pessoas quando a infração penal ou administrativa não possa ser punida por um motivo jurídico […]»

9

O § 130 da OWiG dispõe:

«(1)   Quem, enquanto proprietário de um estabelecimento ou empresa, se abstiver, intencionalmente ou por negligência, de tomar as medidas de vigilância necessárias para impedir, no estabelecimento ou na empresa, o incumprimento das obrigações a que o proprietário está sujeito e cuja violação seja punível com pena ou coima, comete uma contraordenação quando a prática dessa infração pudesse ter sido impedida ou dificultada por medidas de vigilância adequadas. As medidas de vigilância necessárias incluem igualmente a designação, a seleção minuciosa e o controlo dos responsáveis pela fiscalização.

[…]

(3)   Quando o incumprimento de uma obrigação for punível com pena, a infração administrativa pode ser punida com uma coima no montante máximo de um milhão de euros. O disposto no § 30, n.o 2, terceiro período, é aplicável. Quando o incumprimento da obrigação for passível de coima, o montante máximo da coima aplicada pelo incumprimento do dever de vigilância é determinado em função do montante máximo da multa correspondente a esse incumprimento. […]»

10

A DW é uma sociedade imobiliária, constituída sob a forma jurídica de sociedade europeia, cotada em bolsa e com sede social em Berlim (Alemanha). Detém indiretamente, através de participações, cerca de 163000 unidades habitacionais e 3000 unidades comerciais.

11

Os proprietários dessas unidades são filiais da DW, denominadas «sociedades proprietárias», que gerem as atividades operacionais, enquanto a DW é responsável pela direção geral do grupo que constitui designadamente com aquelas. As sociedades proprietárias arrendam as unidades comerciais e habitacionais, cuja gestão é assegurada por outras sociedades do referido grupo, denominadas «sociedades de serviços».

12

No âmbito das suas atividades comerciais, a DW e as sociedades do grupo que dirige tratam dados pessoais dos arrendatários das unidades comerciais e habitacionais, como, por exemplo, provas de identidade, dados fiscais, sociais e de seguro de saúde desses arrendatários, bem como informações sobre os contratos de arrendamento anteriores.

13

Em 23 de junho de 2017, no âmbito de um controlo in loco, a Berliner Beauftragte für den Datenschutz (Autoridade Competente de Berlim em Matéria de Proteção de Dados, a seguir «Autoridade de Proteção de Dados»), chamou a atenção da DW para o facto de as sociedades do seu grupo armazenarem dados pessoais dos locatários num sistema de arquivo eletrónico que não permita verificar se o armazenamento era necessário e garantir que os dados que já não eram necessários eram apagados.

14

A autoridade de proteção de dados solicitou à DW que suprimisse esses documentos do seu sistema de arquivo eletrónico até ao final de 2017. Em resposta a esse pedido, a Deutsche Wohnen salientou que a eliminação não era possível por razões técnicas e jurídicas.

15

Na sequência de interações entre a DW e a Autoridade de Proteção de Dados a respeito da possibilidade de suprimir os documentos em causa, a DW informou a referida autoridade da sua intenção de instituir um novo sistema de salvaguarda, destinado a substituir o que continha os referidos documentos.

16

Em 5 de março de 2019, a Autoridade de Proteção de Dados efetuou um controlo na sede central do grupo dirigido pela DW. Nesse controlo, esta comunicou à referida autoridade que o sistema de arquivo controvertido já tinha sido desativado e que a migração dos dados para o novo sistema de salvaguarda estava iminente.

17

Por Decisão de 30 de outubro de 2019, a Autoridade de Proteção de Dados aplicou à DW uma coima de 14385000 euros, por violação deliberada do artigo 5.o, n.o 1, alíneas a), c) e e), e do artigo 25.o, n.o 1, do RGPD (a seguir «decisão em causa»). Nessa decisão, a referida autoridade aplicou igualmente à DW 15 outras coimas de montantes compreendidos entre 3000 e 17000 euros por violação do artigo 6.o, n.o 1, do RGPD.

18

Na decisão em causa, a Autoridade de Proteção de Dados considerava, mais especificamente, que a DW, intencionalmente, entre 25 de maio de 2018 e 5 de março de 2019, não tinha adotado as medidas necessárias para permitir a eliminação regular dos dados pessoais relativos aos arrendatários que já não eram necessários ou que tinham sido, por outra razão, indevidamente guardados. Salientou igualmente que a DW tinha continuado a salvaguardar, sem que tal diligência fosse necessária, os dados pessoais de, pelo menos, 15 locatários identificados de forma mais precisa.

19

A DW interpôs recurso dessa decisão no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha). Este órgão jurisdicional arquivou o processo por considerar que a decisão em causa enfermava de falhas de tal modo graves que não podia servir de base à aplicação de uma coima.

20

O referido órgão jurisdicional salientou, nomeadamente, que a aplicação de uma coima a uma pessoa coletiva está regulada de forma exaustiva pelo artigo 30.o da OWiG, que, por força do § 41, n.o 1, da Lei Federal de Proteção de Dados, se aplica às infrações previstas no artigo 83.o, n.os 4 a 6, do RGPD. Ora, segundo o referido § 30 do OWiG, uma infração administrativa só pode ser declarada contra uma pessoa singular e não contra uma pessoa coletiva. Além disso, apenas os atos dos órgãos ou dos representantes da pessoa coletiva podem ser imputados a esta última. Embora o referido § 30, n.o 4, permita, em determinadas condições, que seja iniciado um procedimento contravencional administrativo independente contra uma pessoa coletiva, é igualmente certo que, também nessa hipótese, é exigível que se verifique uma infração administrativa por parte dos membros dos órgãos ou dos representantes da pessoa coletiva em causa.

21

O Staatsanwaltschaft Berlin (Ministério Público de Berlim) interpôs recurso da decisão de primeira instância no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha), que é o órgão jurisdicional de reenvio.

22

O órgão jurisdicional de reenvio pergunta‑se, em primeiro lugar, se, nos termos do artigo 83.o do RGPD, deve poder ser aplicada uma coima a uma pessoa coletiva sem que a violação deste regulamento seja previamente imputada a uma pessoa singular identificada. Neste contexto, o referido órgão jurisdicional interroga‑se, nomeadamente, sobre a pertinência do conceito de «empresa», na aceção dos artigos 101.o e 102.o TFUE.

23

A este respeito, o referido órgão jurisdicional explica que, segundo jurisprudência nacional, o regime de responsabilidade limitada das pessoas coletivas existente no direito nacional está em contradição com o regime de responsabilidade direta das empresas previsto no artigo 83.o do RGPD. Segundo essa jurisprudência, resulta nomeadamente da redação do artigo 83.o do RGPD, que, em conformidade com o princípio do primado do direito da União, prevalece sobre o regime nacional, que podem ser aplicadas coimas às empresas. Por conseguinte, não é necessário associar a aplicação de tais coimas a um ato culposo dos órgãos ou dos dirigentes das pessoas coletivas, contrariamente ao que é exigido pelo direito nacional aplicável.

24

Com efeito, segundo o referido órgão jurisdicional, essa jurisprudência, tal como a maioria da doutrina nacional, atribui uma importância especial ao conceito de «empresa», na aceção dos artigos 101.o e 102.o TFUE, e, portanto, à ideia de que a responsabilidade é imputada à entidade económica na qual o comportamento indesejável, por exemplo anticoncorrencial, foi adotado. Segundo esta conceção «funcional», todos os atos de todos os empregados habilitados a agir em nome de uma empresa são imputáveis à empresa, também no âmbito de procedimentos administrativos.

25

Em segundo lugar, na hipótese de o Tribunal de Justiça considerar que se deve poder aplicar uma coima diretamente a uma pessoa coletiva, o órgão jurisdicional de reenvio interroga‑se sobre os critérios que devem ser atendidos para determinar a responsabilidade de uma pessoa coletiva, como empresa, por uma violação do RGPD. Pretende saber, nomeadamente, se pode ser aplicada uma coima administrativa, nos termos do artigo 83.o deste regulamento, a uma pessoa coletiva, sem que se tenha demonstrado que a violação do referido regulamento que lhe é imputada foi cometida de maneira culposa.

26

Nestas condições, o Kammergericht Berlin (Tribunal Regional Superior de Berlim) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

27

Na sequência da audiência de alegações realizada em 17 de janeiro de 2023, a DW, por articulado apresentado na Secretaria do Tribunal de Justiça em 23 de março de 2023, requereu que fosse ordenada a reabertura da fase oral do processo, em aplicação do artigo 83.o do Regulamento de Processo do Tribunal de Justiça.

28

Em apoio do seu pedido, a DW sustenta, em substância, que as respostas dadas pelo órgão jurisdicional de reenvio ao pedido de esclarecimentos, que lhe foi dirigido nos termos do artigo 101.o do Regulamento de Processo, fornecem ao Tribunal de Justiça informações inexatas sobre as disposições aplicáveis do direito nacional. Ora, não foi possível um debate exaustivo sobre este assunto na audiência de 17 de janeiro de 2023, pelo facto de as partes terem tomado conhecimento dessas respostas apenas três dias úteis antes da referida audiência. Com efeito, esse prazo não lhes permitiu preparar a audiência de maneira aprofundada.

29

É certo que, em conformidade com o artigo 83.o do Regulamento de Processo, o Tribunal de Justiça pode, a qualquer momento, ouvido o advogado‑geral, ordenar a reabertura da fase oral do processo, designadamente se considerar que não está suficientemente esclarecido, ou quando, após o encerramento dessa fase, uma parte invocar um facto novo que possa ter influência determinante na decisão do Tribunal, ou ainda quando o processo deva ser resolvido com base num argumento que não foi debatido entre os interessados.

30

Todavia, no caso em apreço, o Tribunal de Justiça salienta que dispõe de todos os elementos necessários para decidir e que o presente processo não deve ser resolvido com base em argumentos que não foram debatidos entre os interessados. Além disso, o pedido de reabertura da fase oral do processo não contém nenhum facto novo suscetível de ter influência determinante na decisão que o Tribunal de Justiça é chamado a proferir neste processo.

31

Nestas condições, o Tribunal de Justiça considera, ouvido o advogado‑geral, que não há que ordenar a reabertura da fase oral do processo.

32

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 58.o, n.o 2, e o artigo 83.o, n.os 1 a 6, do RGPD devem ser interpretados no sentido de que se opõem a uma regulamentação nacional por força da qual só pode ser aplicada uma coima a uma pessoa coletiva, na sua qualidade de responsável pelo tratamento, por uma infração prevista neste artigo 83.o, n.os 4 a 6, na medida em que essa infração tenha sido previamente imputada a uma pessoa singular identificada.

33

A título preliminar, há que salientar que, nas suas observações escritas, o Governo alemão manifestou dúvidas sobre esta interpretação do direito nacional pelo órgão jurisdicional de reenvio, pelo facto de o § 130 da OWiG permitir aplicar uma coima a uma pessoa coletiva também fora dos casos previstos no § 30 da OWiG. Por outro lado, estas duas disposições permitem aplicar uma coima denominada «anónima» no âmbito de um processo instaurado contra a empresa, sem que seja necessário identificar a pessoa singular autora da infração em questão.

34

Em resposta a um pedido de esclarecimentos dirigido ao órgão jurisdicional de reenvio, referido no n.o 28 do presente acórdão, este indicou que o § 130.o da OWiG não tem incidência na primeira questão submetida.

35

Com efeito, esta disposição visa, segundo o referido órgão jurisdicional, o proprietário de uma exploração ou de uma empresa, que deve ter incumprido culposamente uma obrigação de vigilância. A prova desse incumprimento das obrigações imputáveis ao proprietário da empresa é, todavia, extremamente complexa e muitas vezes impossível de produzir, e a questão de saber se um grupo de empresas pode ser qualificado de «empresa» ou de «proprietário de empresas» na aceção da referida disposição é discutida de forma controversa a nível nacional. Em qualquer caso, a primeira questão prejudicial é igualmente pertinente neste contexto.

36

Importa recordar que, no que se refere à interpretação das disposições da ordem jurídica nacional, o Tribunal de Justiça tem, em princípio, de se basear nas qualificações resultantes da decisão de reenvio. Com efeito, segundo jurisprudência constante, o Tribunal de Justiça não é competente para interpretar o direito interno de um Estado‑Membro (Acórdão de 26 de janeiro de 2021, Hessischer Rundfunk, C‑422/19 e C‑423/19, EU:C:2021:63, n.o 31 e jurisprudência referida).

37

Por conseguinte, há que responder à primeira questão prejudicial partindo da premissa de que, nos termos do direito nacional aplicável, só pode ser aplicada uma coima a uma pessoa coletiva, na sua qualidade de responsável pelo tratamento, por uma infração prevista no artigo 83.o, n.os 4 a 6, do RGPD nas condições previstas no § 30 da OWiG, conforme expostas pelo órgão jurisdicional de reenvio.

38

Para responder a esta primeira questão, há que salientar, antes de mais, que os princípios, proibições e obrigações previstos no RGPD têm por destinatários, em especial, os «responsáveis pelo tratamento» cuja responsabilidade se estende, como sublinha o considerando 74 do RGPD, a qualquer tratamento de dados pessoais realizado por estes ou por sua conta, e que os mesmos ficam obrigados, a esse título, não só a executar as medidas que forem adequadas e eficazes, mas também a comprovar que as atividades de tratamento são efetuadas em conformidade com o RGPD, incluindo a eficácia das medidas adotadas para assegurar essa conformidade. É esta responsabilidade que constitui, no caso de infrações previstas no artigo 83.o, n.os 4 a 6, deste regulamento, o fundamento para a aplicação de uma coima nos termos do referido artigo 83.o ao responsável pelo tratamento.

39

O artigo 4.o, ponto 7, do RGPD define de forma ampla o conceito de «responsável pelo tratamento» como a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.

40

O objetivo desta definição ampla do artigo 4.o, ponto 7, do RGPD — que inclui expressamente as pessoas coletivas — consiste, em conformidade com o do RGPD, em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, bem como, nomeadamente, em assegurar um elevado nível de proteção do direito de qualquer pessoa à proteção dos dados pessoais que lhe digam respeito (v., nesse sentido, Acórdãos de 29 de julho de 2019, Fashion ID, C‑40/17, EU:C:2019:629, n.o 66, e de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.o 73 e jurisprudência referida).

41

Por outro lado, o Tribunal de Justiça já declarou que uma pessoa singular ou coletiva que, para fins que lhe são próprios, influencia o tratamento de dados pessoais e contribui assim para a determinação da finalidade e dos meios do tratamento pode ser considerada responsável pelo tratamento (v., nesse sentido, Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 68).

42

Resulta assim da redação e da finalidade do artigo 4.o, ponto 7, do RGPD que o legislador da União, para efeitos da determinação da responsabilidade ao abrigo deste regulamento, não efetuou uma distinção entre as pessoas singulares e as pessoas coletivas, dado que essa responsabilidade está sujeita unicamente à condição de estas, individualmente ou em conjunto com outras, determinarem as finalidades e os meios do tratamento de dados pessoais.

43

Por conseguinte, sem prejuízo do disposto no artigo 83.o, n.o 7, do RGPD no que respeita às autoridades e organismos públicos, qualquer pessoa que preencha esta condição — independentemente de se tratar de uma pessoa singular, de uma pessoa coletiva, de uma autoridade pública, de um serviço ou de outro organismo — é nomeadamente responsável por qualquer infração referida nesse artigo 83.o, n.os 4 a 6, realizada por si mesma ou por sua conta.

44

No que respeita às pessoas coletivas, isso implica, por um lado, como salientou, em substância, o advogado‑geral nos n.os 57 a 59 das suas conclusões, que estas são responsáveis não só pelas infrações cometidas pelos seus representantes, diretores ou gestores, mas também por qualquer outra pessoa que atue no âmbito da atividade comercial dessas pessoas coletivas e por sua conta. Por outro lado, as coimas previstas no artigo 83.o do RGPD em caso de tais infrações devem poder ser aplicadas diretamente a pessoas coletivas quando estas possam ser qualificadas de responsáveis pelo tratamento em causa.

45

Saliente‑se, em seguida, que o artigo 58.o, n.o 2, do RGPD fixa de forma precisa os poderes de que as autoridades de controlo dispõem em matéria de adoção de medidas de correção, sem remeter para o direito dos Estados‑Membros nem deixar margem de apreciação a esses Estados. Ora, por um lado, esses poderes, entre os quais figura, por força do n.o 2, alínea i), do referido artigo 58.o, o de aplicar uma coima, visam o responsável pelo tratamento e, por outro, esse responsável pode, como resulta do n.o 39 do presente acórdão, ser tanto uma pessoa singular como uma pessoa coletiva. As condições materiais que devem ser respeitadas por uma autoridade de controlo na aplicação de tal coima são, por sua vez, enunciadas nos n.os 1 a 6 do referido artigo 83.o, de forma precisa e sem deixar margem de apreciação aos Estados‑Membros.

46

Resulta, assim, da leitura conjugada do artigo 4.o, ponto 7, do artigo 83.o e do artigo 58.o, n.o 2, alínea i), do RGPD que pode igualmente ser aplicada uma coima por uma infração prevista no referido artigo 83.o, n.os 4 a 6, a pessoas coletivas desde que estas tenham a qualidade de responsáveis pelo tratamento. Em contrapartida, nenhuma disposição do RGPD permite considerar que a aplicação de uma coima a uma pessoa coletiva enquanto responsável pelo tratamento esteja sujeita à constatação prévia de que essa infração foi cometida por uma pessoa singular identificada.

47

É verdade que resulta do artigo 58.o, n.o 4, e do artigo 83.o, n.o 8, do RGPD, lidos à luz do considerando 129 do mesmo regulamento, que o exercício, por parte da autoridade de controlo, das competências que lhe são atribuídas pelos referidos artigos, fica sujeito a garantias processuais adequadas em conformidade com o direito da União e com o direito dos Estados‑Membros, incluindo o direito a um recurso judicial efetivo e a um processo equitativo.

48

Todavia, o facto de o referido regulamento dar aos Estados‑Membros a possibilidade de estabelecer exigências no que respeita ao procedimento a seguir pelas autoridades de controlo para aplicar uma coima não significa, de modo nenhum, que estes estão igualmente habilitados a prever, além dessas exigências de natureza processual, condições materiais adicionais às fixadas no referido artigo 83.o, n.os 1 a 6. Além disso, o facto de o legislador da União ter tido o cuidado de prever expressamente essa possibilidade mas não a de estabelecer tais condições materiais adicionais confirma que não deixou aos Estados‑Membros margem de apreciação a este respeito. As referidas condições materiais são, por conseguinte, da competência exclusiva do direito da União.

49

A interpretação literal do artigo 58.o, n.o 2, e do artigo 83.o, n.os 1 a 6, do RGPD que precede é corroborada pela finalidade deste regulamento.

50

Resulta, em especial, do considerando 10 do RGPD que as suas disposições têm, nomeadamente, por objetivos assegurar um nível coerente e elevado de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e, para esse efeito, assegurar uma aplicação coerente e homogénea das regras de proteção das liberdades e dos direitos fundamentais dessas pessoas no que diz respeito ao tratamento de tais dados em toda a União. Os considerandos 11 e 129 do RGPD sublinham, por outro lado, a necessidade de garantir, a fim de assegurar uma aplicação coerente deste regulamento, que as autoridades de controlo dispõem de poderes equivalentes de supervisão e de controlo do cumprimento das regras relativas à proteção dos dados pessoais e que possam aplicar sanções equivalentes em caso de violação do referido regulamento.

51

Ora, permitir aos Estados‑Membros que exijam unilateralmente e como condição necessária à aplicação de uma coima nos termos do artigo 83.o do RGPD a um responsável pelo tratamento que seja uma pessoa coletiva, que a violação em causa seja imputada ou imputável, previamente, a uma pessoa singular identificada seria contrário a esta finalidade do RGPD. Além disso, tal exigência adicional poderia, em última análise, enfraquecer a eficácia e o efeito dissuasivo das coimas aplicadas a pessoas coletivas enquanto responsáveis pelo tratamento, em violação do artigo 83.o, n.o 1, do RGPD.

52

A este respeito, importa recordar que o artigo 288.o, segundo parágrafo, TFUE prevê que um regulamento da União é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados‑Membros, o que exclui, salvo disposição em contrário, que os Estados‑Membros adotem disposições internas que afetem o alcance de tal regulamento. Além disso, os Estados‑Membros, devido às obrigações que decorrem do Tratado FUE, não podem entravar a aplicabilidade direta própria dos regulamentos. Em especial, não podem adotar um ato pelo qual a natureza de direito da União de uma norma jurídica e os efeitos que dela decorrem sejam dissimulados aos particulares (Acórdão de 15 de novembro de 2012, Al‑Aqsa/Conselho e Países Baixos/Al‑Aqsa, C‑539/10 P e C‑550/10 P, EU:C:2012:711, n.os 86 e 87 e jurisprudência referida).

53

Por último, tendo em conta as interrogações do órgão jurisdicional de reenvio, importa salientar que o conceito de «empresa», na aceção dos artigos 101.o e 102.o TFUE, não tem incidência na questão de saber se e em que condições pode ser aplicada uma coima nos termos do artigo 83.o do RGPD a um responsável pelo tratamento que seja uma pessoa coletiva, dado que esta questão é regulada de forma exaustiva pelo artigo 58.o, n.o 2, e pelo artigo 83.o, n.os 1 a 6, deste regulamento.

54

Com efeito, este conceito só é pertinente para determinar o montante da coima aplicada nos termos do artigo 83.o, n.os 4 a 6, do RGPD a um responsável pelo tratamento.

55

Como salientou o advogado‑geral no n.o 45 das suas conclusões, é neste contexto específico do cálculo das coimas aplicadas por infrações referidas no artigo 83.o, n.os 4 a 6, do RGPD que deve ser entendida a remissão, efetuada no considerando 150 deste regulamento, para o conceito de «empresa», na aceção dos artigos 101.o e 102.o TFUE.

56

A este respeito, importa sublinhar que, para efeitos da aplicação das regras da concorrência, referidas nos artigos 101.o e 102.o TFUE, este conceito abrange qualquer entidade que exerça uma atividade económica, independentemente do seu estatuto jurídico e do seu modo de financiamento. Designa, assim, uma unidade económica mesmo que, do ponto de vista jurídico, essa unidade económica seja constituída por várias pessoas singulares ou coletivas. Essa unidade económica consiste numa organização unitária de elementos pessoais, materiais e incorpóreos que prossegue, de forma duradoura, um objetivo económico determinado (Acórdão de 6 de outubro de 2021, Sumal, C‑882/19, EU:C:2021:800, n.o 41 e jurisprudência referida).

57

Assim, resulta do artigo 83.o, n.os 4 a 6, do RGPD, relativo ao cálculo das coimas pelas violações enumeradas nesses números, que, no caso de o destinatário da coima ser uma empresa ou dela fazer parte, na aceção dos artigos 101.o e 102.o TFUE, o montante máximo da coima é calculado com base numa percentagem do volume de negócios anual mundial total do exercício anterior da empresa em causa.

58

Em definitivo, como salientou o advogado‑geral no n.o 47 das suas conclusões, só uma coima cujo montante é determinado em função da capacidade económica real ou material do seu destinatário, e, portanto, imposta pela autoridade de controlo com base, no que respeita ao seu montante, no conceito de unidade económica na aceção da jurisprudência referida no n.o 56 do presente acórdão, é suscetível de reunir as três condições enunciadas no artigo 83.o, n.o 1, do RGPD, a saber, ser simultaneamente efetiva, proporcionada e dissuasiva.

59

Por conseguinte, quando uma autoridade de controlo decide, ao abrigo dos poderes que detém por força do artigo 58.o, n.o 2, do RGPD, impor a um responsável pelo tratamento, que é uma empresa ou dela faz parte, na aceção dos artigos 101.o e 102.o TFUE, uma coima nos termos do artigo 83.o do referido regulamento, essa autoridade está obrigada a basear‑se, por força desta última disposição, lida à luz do considerando 150 do mesmo regulamento, aquando do cálculo das coimas para as infrações referidas no referido artigo 83.o, n.os 4 a 6, no conceito de «empresa», na aceção desses artigos 101.o e 102.o TFUE.

60

Tendo em conta os fundamentos precedentes, há que responder à primeira questão que o artigo 58.o, n.o 2, alínea i), e o artigo 83.o, n.os 1 a 6, do RGPD devem ser interpretados no sentido de que se opõem a uma regulamentação nacional por força da qual só pode ser aplicada uma coima a uma pessoa coletiva na sua qualidade de responsável pelo tratamento por uma infração prevista neste artigo 83.o, n.os 4 a 6, na medida em que essa infração tenha sido previamente imputada a uma pessoa singular identificada.

61

Com a sua segunda questão, que é submetida para a hipótese de uma resposta afirmativa à primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 83.o do RGPD deve ser interpretado no sentido de que só pode ser aplicada uma coima nos termos desta disposição se se demonstrar que o responsável pelo tratamento, que é simultaneamente uma pessoa coletiva e uma empresa, cometeu, intencionalmente ou por negligência, uma infração prevista nos n.os 4 a 6 do referido artigo.

62

A este respeito, há que recordar que resulta do artigo 83.o, n.o 1, do RGPD que as coimas devem ser efetivas, proporcionadas e dissuasivas. Em contrapartida, o artigo 83.o do RGPD não precisa expressamente que as infrações referidas nos n.os 4 a 6 deste artigo só podem ser punidas com tal coima se tiverem sido cometidas intencionalmente ou, pelo menos, por negligência.

63

Os Governos Alemão, Estónio e Norueguês, bem como o Conselho da União Europeia, deduzem daí, nomeadamente, que o legislador da União pretendeu deixar aos Estados‑Membros uma certa margem de apreciação na aplicação do artigo 83.o do RGPD, que lhes permita prever a aplicação de coimas nos termos desta disposição, se for caso disso, sem que esteja demonstrado que a violação do RGPD punida com essa coima foi cometida intencionalmente ou por negligência.

64

Tal interpretação do artigo 83.o do RGPD não pode proceder.

65

A este respeito, como foi constatado nos n.os 45 e 48 do presente acórdão, as condições materiais que devem ser respeitadas por uma autoridade de controlo quando aplica uma coima a um responsável pelo tratamento são unicamente abrangidas pelo direito da União, dado que são fixadas, de forma precisa e sem deixar margem de apreciação aos Estados‑Membros, no artigo 83.o, n.os 1 a 6, do RGPD (v., igualmente, Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, n.os 64 a 70).

66

No que respeita às referidas condições, saliente‑se que o artigo 83.o, n.o 2, do RGPD enumera os elementos com base nos quais a autoridade de controlo aplica uma coima ao responsável pelo tratamento. Entre esses elementos figura, na alínea b) desta disposição, «[o] caráter intencional ou negligente da infração». Em contrapartida, nenhum dos elementos enumerados na referida disposição refere qualquer possibilidade de responsabilizar o responsável pelo tratamento sem um comportamento culposo da parte deste.

67

Além disso, importa ler o artigo 83.o, n.o 2, do RGPD, em conjugação com o n.o 3 do mesmo artigo, cujo objeto consiste em prever as consequências dos casos de cumulação de violações deste regulamento e nos termos do qual «[s]e o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave».

68

Decorre assim da redação do artigo 83.o, n.o 2, do RGPD que só as violações das disposições deste regulamento cometidas de forma culposa pelo responsável pelo tratamento, a saber, as cometidas intencionalmente ou por negligência, podem conduzir à aplicação de uma coima a este último ao abrigo deste artigo.

69

A sistemática geral e a finalidade do RGPD corroboram esta leitura.

70

Por um lado, o legislador da União previu um sistema de sanções que permite às autoridades de controlo aplicar as sanções mais adequadas consoante as circunstâncias de cada caso.

71

Com efeito, o artigo 58.o do RGPD prevê, no n.o 2, alínea i), que essas autoridades podem impor coimas, nos termos do artigo 83.o deste regulamento, «em complemento ou em vez» das outras medidas de correção enumeradas nesse artigo 58.o, n.o 2, como advertências, repreensões ou ordens. Do mesmo modo, o considerando 148 do referido regulamento enuncia, nomeadamente, que, em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, as autoridades de controlo podem não aplicar uma coima e, em seu lugar, fazer uma repreensão.

72

Por outro lado, como salientado no n.o 50 do presente acórdão, as disposições do RGPD têm, nomeadamente, por objetivos assegurar um nível coerente e elevado de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e, para esse efeito, assegurar uma aplicação coerente e homogénea das regras de proteção das liberdades e dos direitos fundamentais dessas pessoas no que diz respeito ao tratamento de tais dados em toda a União. Além disso, a fim de assegurar a aplicação coerente do presente regulamento, as autoridades de controlo devem dispor de poderes equivalentes de supervisão e de controlo do cumprimento das regras relativas à proteção de dados pessoais, para que possam aplicar sanções equivalentes em caso de violação do referido regulamento.

73

A existência de um sistema de sanções que permita aplicar, quando as circunstâncias específicas de cada caso concreto o justifiquem, uma coima nos termos do artigo 83.o do RGPD cria um incentivo para os responsáveis pelo tratamento e os subcontratantes cumprirem este regulamento. Através do seu efeito dissuasivo, as coimas contribuem para o reforço da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e constituem, portanto, um elemento‑chave para garantir o respeito dos direitos dessas pessoas, em conformidade com a finalidade deste regulamento de assegurar um elevado nível de proteção dessas pessoas no que diz respeito ao tratamento de dados pessoais.

74

No entanto, o legislador da União não considerou necessário, para assegurar esse nível elevado de proteção, prever a aplicação de coimas na falta de culpa. Tendo em conta que o RGPD visa um nível de proteção simultaneamente equivalente e homogéneo e, para esse efeito, deve ser aplicado de forma coerente em toda a União, seria contrário a esta finalidade permitir aos Estados‑Membros estabelecer esse regime para a aplicação de uma coima nos termos do artigo 83.o deste regulamento. Tal liberdade de escolha seria, além disso, suscetível de falsear a concorrência entre os operadores económicos na União, o que seria contrário aos objetivos expressos pelo legislador da União, nomeadamente, nos considerandos 9 e 13 do referido regulamento.

75

Por conseguinte, há que declarar que o artigo 83.o do RGPD não permite aplicar uma coima por uma infração prevista nos seus n.os 4 a 6, sem que se demonstre que essa infração foi cometida intencionalmente ou por negligência pelo responsável pelo tratamento, e que, consequentemente, a violação culposa constitui uma condição de aplicação dessa coima.

76

A este propósito, importa ainda salientar, no que respeita à questão de saber se uma violação foi cometida intencionalmente ou por negligência e é, por isso, suscetível de ser punida com uma coima nos termos do artigo 83.o do RGPD, que um responsável pelo tratamento pode ser punido por um comportamento abrangido pelo âmbito de aplicação do RGPD quando esse responsável pelo tratamento não podia ignorar o caráter ilícito do seu comportamento, independentemente de ter tido ou não consciência de que infringia as disposições do RGPD (v., por analogia, Acórdãos de 18 de junho de 2013, Schenker & Co. e o., C‑681/11, EU:C:2013:404, n.o 37 e jurisprudência referida; de 25 de março de 2021, Lundbeck/Comissão, C‑591/16 P, EU:C:2021:243, n.o 156, e de 25 de março de 2021, Arrow Group e Arrow Generics/Comissão, C‑601/16 P, EU:C:2021:244, n.o 97).

77

Quando o responsável pelo tratamento for uma pessoa coletiva, importa ainda esclarecer que a aplicação do artigo 83.o do RGPD não implica uma ação ou mesmo o conhecimento do órgão de gestão dessa pessoa coletiva (v., por analogia, Acórdãos de 7 de junho de 1983, Musique Diffusion française e o./Comissão, 100/80 a 103/80, EU:C:1983:158, n.o 97, e de 16 de fevereiro de 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comissão, C‑94/15 P, EU:C:2017:124, n.o 28 e jurisprudência referida).

78

Tendo em conta as considerações precedentes, há que responder à segunda questão que o artigo 83.o do RGPD deve ser interpretado no sentido de que só pode ser aplicada uma coima nos termos desta disposição se se demonstrar que o responsável pelo tratamento, que é simultaneamente uma pessoa coletiva e uma empresa, cometeu, intencionalmente ou por negligência, uma infração prevista nos n.os 4 a 6 deste artigo.

79

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara: