1

Com o seu recurso baseado no artigo 263.o TFUE, a recorrente, WhatsApp Ireland Ltd (a seguir «WhatsApp»), pede a anulação da Decisão vinculativa 1/2021 do Comité Europeu para a Proteção de Dados (a seguir «CEPD»), de 28 de julho de 2021, relativa ao litígio entre as autoridades de controlo interessadas resultante do projeto de decisão referente à WhatsApp elaborado pela Data Protection Commission (Autoridade de Controlo em Matéria de Proteção de Dados Pessoais das Pessoas Singulares, Irlanda, a seguir «Autoridade de controlo irlandesa») (a seguir «decisão impugnada»).

2

Após a entrada em vigor do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1), a Autoridade de controlo irlandesa recebeu queixas de utilizadores e de não utilizadores da aplicação de mensagens «WhatsApp» sobre o tratamento de dados pessoais efetuado pela WhatsApp. Além disso, a Autoridade de controlo federal alemã pediu assistência à Autoridade de controlo irlandesa relativamente ao cumprimento pela WhatsApp das obrigações de transparência que impendem sobre os responsáveis pelo tratamento de dados pessoais no que respeita a uma eventual partilha desses dados com outras entidades do grupo Facebook (renomeado Meta em setembro de 2021).

3

Em dezembro de 2018, a Autoridade de controlo irlandesa deu, oficiosamente, início a um inquérito de caráter geral sobre a observância pela WhatsApp das obrigações de transparência e de informação para com os particulares (por oposição às empresas) enunciadas nos artigos 12.o, 13.o e 14.o do Regulamento 2016/679, sem prejuízo dos pedidos individuais que lhe foram submetidos seguirem os seus trâmites. A Autoridade de controlo irlandesa agiu, a este respeito, como «autoridade de controlo principal», conforme previsto no artigo 56.o, n.o 1, do Regulamento 2016/679, uma vez que a WhatsApp tinha na Irlanda o seu estabelecimento principal enquanto responsável pelo tratamento para as operações da aplicação de mensagens «WhatsApp» na Europa, sendo que esse tratamento tinha caráter transfronteiriço.

4

Concluída em setembro de 2019 a fase de inquérito com a apresentação de um relatório final do investigador, o decisor da Autoridade de controlo irlandesa apresentou, em dezembro de 2020, após as fases processuais intermédias durante as quais a WhatsApp formulou as suas observações, um projeto de decisão a todas as outras autoridades de controlo interessadas no processo, a saber, a todas as outras autoridades de controlo dos Estados‑Membros para que emitam parecer, em conformidade com o previsto no artigo 60.o, n.o 3, do Regulamento 2016/679.

5

Em janeiro de 2021, oito dessas autoridades de controlo, a Autoridade de controlo federal alemã, a Autoridade de controlo de Bade‑Vurtemberga e as Autoridades de controlo húngara, neerlandesa, polaca, francesa, italiana e portuguesa, levantaram objeções sobre certos aspetos do projeto de decisão. Foram, ainda, feitos simples comentários por diferentes autoridades de controlo. A Autoridade de controlo irlandesa respondeu em conjunto às outras autoridades de controlo interessadas propondo soluções de compromisso. Embora, na sequência desta resposta, uma dessas autoridades tenha retirado uma das suas objeções, a Autoridade de controlo irlandesa constatou não haver consenso entre as autoridades de controlo interessadas sobre as suas propostas relativas aos outros aspetos que foram objeto de objeções e decidiu rejeitar todas as objeções para que o CEPD dirimisse o litígio entre as autoridades de controlo interessadas relativamente a esses aspetos, nos termos do artigo 60.o, n.o 4, e do artigo 65.o, n.o 1, alínea a), do Regulamento 2016/679.

6

Em maio de 2021, a Autoridade de controlo irlandesa recolheu por escrito as observações da WhatsApp sobre os elementos debatidos entre as autoridades de controlo interessadas, após lhe ter entregado todos os documentos trocados a esse respeito, e transmitiu ela própria ao CEPD as referidas observações para que delas tomasse conhecimento no âmbito do processo de resolução de litígios, que foi por ela iniciado em junho de 2021.

7

O CEPD que, nos termos do artigo 68.o, n.o 3, do Regulamento 2016/679, é composto «pelo diretor de uma autoridade de controlo de cada Estado‑Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes», adotou, em 28 de julho de 2021, a decisão impugnada por maioria de dois terços, conforme previsto no artigo 65.o, n.o 2, do Regulamento 2016/679. A decisão impugnada é uma decisão dirigida à Autoridade de controlo principal e a todas as autoridades de controlo interessadas, que é vinculativa, nas relações entre si, conforme previsto na mesma disposição, e diz respeito a todas as questões que foram objeto de objeções pertinentes e fundamentadas, como dispõe o artigo 65.o, n.o 1, alínea a), do Regulamento 2016/679. A este respeito, na decisão impugnada, o CEPD começou por examinar, para cada objeção suscitada por uma autoridade de controlo interessada, se era pertinente e fundamentada. Só se pronunciou sobre uma objeção em caso de resposta afirmativa a esta questão prévia.

8

Depois de a Autoridade de controlo irlandesa ter recebido a decisão impugnada e ter recolhido as observações da WhatsApp sobre as sanções pecuniárias cuja aplicação era em última análise prevista à luz da decisão impugnada, o decisor dessa autoridade adotou, em 20 de agosto de 2021, nos termos do artigo 65.o, n.o 6, do Regulamento 2016/679, a decisão final, dirigida à WhatsApp (a seguir «decisão final»). Nesta, foi considerado que a WhatsApp violou o princípio e as obrigações de transparência enunciados no artigo 5.o, n.o 1, alínea a), no artigo 12.o, n.o 1, no artigo 13.o, n.o 1, alíneas c), d), e) e f), no artigo 13.o, n.o 2, alíneas a), c) e e), e no artigo 14.o do Regulamento 2016/679. Em contrapartida, foi indicado que a WhatsApp cumpriu as obrigações enunciadas no artigo 13.o, n.o 1, alíneas a) e b), e no artigo 13.o, n.o 2, alíneas b) e d), do Regulamento 2016/679. A título de medidas corretivas adotadas com fundamento no artigo 58.o, n.o 2, alíneas b), d) e i), do Regulamento 2016/679, foram impostas na decisão final à WhatsApp uma repreensão, a execução de um certo número de ações, enumeradas num anexo, destinadas ao cumprimento, no prazo de três meses, das disposições do Regulamento 2016/679 que foram violadas, bem como quatro coimas relativas às infrações declaradas ao artigo 5.o, n.o 1, alínea a), e aos artigos 12.o, 13.o e 14.o do Regulamento 2016/679, de um montante total de 225 milhões de euros.

9

Na decisão final, o decisor da Autoridade de controlo irlandesa identificou os aspetos relativamente aos quais a decisão impugnada lhe impunha rever a apreciação exposta no projeto de decisão referido no n.o 4, supra. Optou, quanto a esses aspetos, por reproduzir tal e qual, enquadrados a cinzento, os fundamentos adotados pelo CEDP na decisão impugnada e retirar simplesmente as consequências, em cada caso, num ponto conclusivo. Precisou que, na decisão final, por um lado, não se referia às objeções que o CEPD tinha considerado não pertinentes ou não fundamentadas e cujo mérito não tinha, consequentemente, apreciado, nem às objeções que o CEPD tinha considerado não exigirem uma alteração da apreciação constante do projeto de decisão e, por outro, que não se pronunciava sobre essas objeções.

10

Nos termos do artigo 65.o, n.o 6, do Regulamento 2016/679, a decisão impugnada foi junta à decisão final da Autoridade de controlo irlandesa.

11

A este respeito, afigura‑se que, na decisão impugnada, o CEPD tomou sucessivamente posição apenas sobre os seguintes aspetos, que foram, em seu entender, objeto de objeções pertinentes e fundamentadas:

12

A WhatsApp impugnou, paralelamente, a decisão final num órgão jurisdicional irlandês e pediu ao Tribunal Geral a anulação da decisão impugnada.

13

No âmbito do presente processo, a Computer & Communication Industry Association pediu para intervir em apoio da recorrente, ao passo que a República da Finlândia, a Comissão Europeia e a Autoridade Europeia para a Proteção de Dados pediram para intervir em apoio do CEPD. Na perspetiva das suas intervenções, as partes principais pediram que elementos dos autos não fossem comunicados a certos intervenientes, em razão do seu caráter confidencial. Nesta fase, não foi proferida decisão sobre esses pedidos.

14

A medida de organização do processo adotada após a apresentação da contestação, que convidava as partes principais a não deixar, na réplica e na tréplica, de tomar posição sobre todas as questões importantes relativas à competência do Tribunal Geral e à admissibilidade do recurso, mencionava a este propósito a qualificação da decisão impugnada como ato de um órgão da União Europeia, a qualificação da decisão impugnada como ato recorrível, a legitimidade ativa da recorrente e o seu interesse em agir.

15

A WhatsApp conclui pedindo a anulação na íntegra da decisão impugnada ou, a título subsidiário, nas suas partes relevantes, bem como a condenação do CEPD nas despesas.

16

O CEPD conclui pedindo que o recurso seja julgado inadmissível e, a título subsidiário, que seja julgado improcedente e, a título ainda mais subsidiário, que a anulação da decisão impugnada seja limitada às partes relevantes. O CEPD pede igualmente a condenação da recorrente nas despesas.

17

Nos termos do artigo 129.o do Regulamento de Processo do Tribunal Geral, sob proposta do juiz‑relator, o Tribunal Geral pode, a todo o tempo e oficiosamente, ouvidas as partes principais, decidir pronunciar‑se por despacho fundamentado sobre os fundamentos de inadmissibilidade de ordem pública.

18

No presente processo, o Tribunal Geral considera‑se suficientemente esclarecido pelos elementos dos autos e decide, ao abrigo deste artigo, pronunciar‑se sobre a admissibilidade do recurso sem prosseguir a instância.

19

Com efeito, a verificação da competência do Tribunal Geral e a da legitimidade de um recorrente são questões de ordem pública, como a verificação de outros elementos relacionados com a admissibilidade de um recurso, e, no caso em apreço, foi dada às partes principais a possibilidade de desenvolverem as suas observações a este respeito na sequência da medida de organização do processo referida no n.o 14, supra, depois de o próprio CEPD ter, aliás, deduzido na contestação a inadmissibilidade do recurso.

20

No caso em apreço, importa, a título preliminar, recordar o quadro jurídico institucional em que se inscreve a decisão impugnada.

21

O capítulo VI do Regulamento 2016/679 intitula‑se «Autoridades de controlo independentes». Nesse capítulo, o artigo 51.o dispõe que os Estados‑Membros «estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento», que essas autoridades «contribuem para a aplicação coerente do presente regulamento em toda a União» e que, para esse efeito, «as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII».

22

O artigo 55.o prevê que as autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo Regulamento 2016/679 no território do seu próprio Estado‑Membro e o artigo 56.o refere que, sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o. Como foi indicado no n.o 3, supra, no presente processo, a Autoridade de controlo irlandesa agiu contra a WhatsApp enquanto autoridade principal.

23

O artigo 58.o, n.o 2, do Regulamento 2016/679 prevê os poderes de correção que cada autoridade de controlo dispõe contra o responsável pelo tratamento ou o subcontratante e, designadamente, nas suas alíneas b), d) e i), de lhes fazer repreensões sempre que as operações de tratamento tiverem violado as disposições do Regulamento 2016/679, de ordenar que tomem medidas para que as operações de tratamento cumpram as disposições do Regulamento 2016/679 e, se necessário, de uma forma específica e dentro de um prazo determinado, e de lhes impor uma coima.

24

O capítulo VII do Regulamento 2016/679, que vem a seguir às disposições referidas nos n.os 21 a 23, supra, intitula‑se «Cooperação e coerência».

25

Na secção «Cooperação» deste capítulo, o artigo 60.o, ele próprio intitulado «Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», prevê nomeadamente:

«1.   A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

[…]

3.   A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4.   Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o

5.   Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6.   Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera‑se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7.   A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

[…]

10.   Após ter sido notificado da decisão da autoridade de controlo principal […], o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.»

26

Na secção «Coerência» do mesmo capítulo VII do Regulamento 2016/679, o artigo 63.o, sob a epígrafe «Procedimento de controlo da coerência», prevê:

«A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.»

27

O CEPD intervém no referido mecanismo. O estatuto do CEPD é fixado na terceira e última secção do capítulo VII do Regulamento 2016/679, intitulada «Comité europeu para a proteção de dados».

28

Nesta secção, o artigo 68.o dispõe:

«1.   O Comité Europeu para a Proteção de Dados (“Comité”) é criado enquanto organismo da União e está dotado de personalidade jurídica.

[…]

3.   O Comité é composto pelo diretor de uma autoridade de controlo de cada Estado‑Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.

[…]»

29

Na mesma secção, o artigo 70.o, sob a epígrafe «Atribuições do Comité», prevê:

«1.   O Comité assegura a aplicação coerente do presente regulamento. Para o efeito, o Comité exerce, por iniciativa própria ou, nos casos pertinentes, a pedido da Comissão, as seguintes atividades:

[…]»

30

O mesmo artigo 70.o enumera, ainda, em pormenor, as outras atribuições do CEPD, que, no essencial, são atividades consultivas que deve exercer através de pareceres, diretrizes, recomendações e recomendações de «melhores práticas».

31

Na secção «Coerência», referida no n.o 26, supra, após o artigo 64.o, que enumera os casos em que o CEPD emite um parecer, o artigo 65.o, sob a epígrafe «Resolução de litígios pelo Comité», dispõe nomeadamente:

«1.   A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:

[…]

2.   A decisão a que se refere o n.o 1 é adotada por maioria de dois terços dos membros do Comité […] A decisão referida no n.o 1 é fundamentada e dirigida à autoridade de controlo principal, bem como a todas as autoridades de controlo interessadas, e é vinculativa para as partes.

[…]

5.   O presidente do Comité informa, sem demora injustificada, as autoridades de controlo interessadas da decisão a que se refere o n.o 1. Do facto informa a Comissão. A decisão é imediatamente publicada no sítio web do Comité, depois de a autoridade de controlo ter notificado a decisão final a que se refere o n.o 6.

6.   Sem demora injustificada e o mais tardar um mês depois de o Comité ter notificado a sua decisão, a autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação adota a decisão final com base na decisão a que se refere o n.o 1 do presente artigo […] A decisão final remete para a decisão a que se refere o n.o 1 do presente artigo e especifica que a decisão referida no n.o 1 é publicada no sítio web do Comité nos termos do n.o 5 do presente artigo. A decisão final é acompanhada da decisão a que se refere o n.o 1 do presente artigo.»

32

O capítulo VIII do Regulamento 2016/679, intitulado «Vias de recurso, responsabilidade e sanções», aborda o «direito à ação judicial contra uma autoridade de controlo» no artigo 78.o e o «direito à ação judicial contra um responsável pelo tratamento ou um subcontratante» no artigo 79.o. Não contém nenhuma disposição relativa a eventuais vias de recurso contra as decisões vinculativas do CPED adotadas com fundamento no artigo 65.o, n.o 1, acima referido. O artigo 78.o, n.o 4, dispõe, no entanto, que «[q]uando for interposto recurso de uma decisão de uma autoridade de controlo que tenha sido precedida de […] uma decisão do Comité no âmbito do procedimento de controlo da coerência, a autoridade de controlo transmite ess[a] […] decisão ao tribunal».

33

Na fundamentação do Regulamento 2016/679, o considerando 143 indica:

«Todas as pessoas singulares ou coletivas têm o direito de interpor recurso de anulação das decisões do Comité para o Tribunal de Justiça nas condições previstas no [artigo 263.o TFUE]. Enquanto destinatárias dessas decisões, as autoridades de controlo interessadas que as pretendam contestar têm de interpor recurso no prazo de dois meses a contar da sua notificação, em conformidade com o [artigo 263.o TFUE]. Se as decisões do Comité disserem direta e individualmente respeito a um responsável pelo tratamento, um subcontratante ou ao autor da reclamação, este pode interpor recurso de anulação dessas decisões no prazo de dois meses a contar da sua publicação no sítio web do Comité, em conformidade com o [artigo 263.o TFUE]. Sem prejuízo do direito que lhes assiste ao abrigo do [artigo 263.o TFUE], todas as pessoas, singulares ou coletivas, deverão ter direito a interpor junto dos tribunais nacionais competentes recurso efetivo das decisões das autoridades de controlo que produzam efeitos jurídicos em relação a essas pessoas. Tais decisões dizem respeito, em especial, ao exercício de poderes de investigação, correção e autorização pelas autoridades de controlo ou à recusa ou rejeição de reclamações. Porém, o direito a um recurso judicial efetivo não abrange medidas tomadas pelas autoridades de controlo que não sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado pela autoridade de controlo. Os recursos inte[r]postos contra as autoridades de controlo deverão ser inte[r]postos nos tribunais do Estado‑Membro em cujo território se encontrem estabelecidas e obedecer às disposições processuais desse Estado‑Membro. Estes tribunais deverão ter jurisdição plena, incluindo o poder de analisar todas as questões de facto e de direito relevantes para o litígio.

Se a autoridade de controlo recusar ou rejeitar uma reclamação, o seu autor pode intentar uma ação perante os tribunais do mesmo Estado‑Membro. No contexto de recursos judiciais relacionados com a aplicação do presente regulamento, os tribunais nacionais que considerem que uma decisão sobre a matéria é necessária ao julgamento, poderão, ou, no caso previsto no [artigo 267.o TFUE], são mesmo obrigados a solicitar ao Tribunal de Justiça uma decisão prejudicial sobre a interpretação do direito da União, concretamente do presente regulamento. Além disso, se a decisão de uma autoridade de controlo que dá execução a uma decisão do Comité for contestada junto de um tribunal nacional e estiver em causa a validade desta última decisão, o tribunal nacional em questão não tem competência para a declarar inválida, devendo reenviar a questão da validade para o Tribunal de Justiça nos termos do [artigo 267.o TFUE], na interpretação que lhe dá este tribunal, quando considera a decisão inválida. No entanto, o tribunal nacional não pode reenviar a questão da validade da decisão do Comité a pedido de uma pessoa singular ou coletiva que, tendo a possibilidade de interpor recurso de anulação da mesma, sobretudo se for a destinatária direta e individual da decisão, não o tenha feito dentro do prazo fixado no [artigo 263.o TFUE].»

34

O artigo 263.o TFUE, cujos primeiro, segundo, quarto e quinto parágrafos, são reproduzidos a seguir, dispõe:

«O Tribunal de Justiça da União Europeia fiscaliza a legalidade dos atos legislativos, dos atos do Conselho, da Comissão e do Banco Central Europeu, que não sejam recomendações ou pareceres, e dos atos do Parlamento Europeu e do Conselho Europeu destinados a produzir efeitos jurídicos em relação a terceiros. O Tribunal fiscaliza também a legalidade dos atos dos órgãos ou organismos da União destinados a produzir efeitos jurídicos em relação a terceiros.

Para o efeito, o Tribunal é competente para conhecer dos recursos com fundamento em incompetência, violação de formalidades essenciais, violação dos Tratados ou de qualquer norma jurídica relativa à sua aplicação, ou em desvio de poder, interpostos por um Estado‑Membro, pelo Parlamento Europeu, pelo Conselho ou pela Comissão.

[…]

Qualquer pessoa singular ou coletiva pode interpor, nas condições previstas nos primeiro e segundo parágrafos, recursos contra os atos de que seja destinatária ou que lhe digam direta e individualmente respeito, bem como contra os atos regulamentares que lhe digam diretamente respeito e não necessitem de medidas de execução.

Os atos que criam os órgãos e organismos da União podem prever condições e regras específicas relativas aos recursos interpostos por pessoas singulares ou coletivas contra atos desses órgãos ou organismos destinados a produzir efeitos jurídicos em relação a essas pessoas.

[…]»

35

Decorre do artigo 263.o TFUE, primeiro parágrafo, que o juiz da União é competente para fiscalizar a legalidade de um ato de um órgão da União destinado a produzir efeitos jurídicos em relação a terceiros. Resulta ainda do mesmo artigo, quarto parágrafo, que, para poder interpor recurso de um ato individual de um órgão da União de que não seja destinatária, uma pessoa coletiva deve, em princípio, ser direta e individualmente afetada por este. No caso em apreço, conforme exposto no n.o 32, supra, nenhuma disposição correspondente à previsão do artigo 263.o TFUE, quinto parágrafo, figura no Regulamento 2016/679, pelo que, neste caso, a WhatsApp está efetivamente sujeita às condições previstas no quarto parágrafo deste artigo, ou seja de ser direta e individualmente afetada pela decisão impugnada, para que o seu recurso dessa decisão possa ser admissível.

36

Antes de mais, há que observar que a decisão impugnada, adotada pelo CEPD, é efetivamente um ato de um órgão da União. É certo que o quadro institucional previsto pelo Regulamento 2016/679, exposto nos n.os 21 a 31, supra, designadamente a competência exclusiva das autoridades de controlo nacionais para adotar medidas corretivas contra os responsáveis pelo tratamento e os subcontratantes, bem como os mecanismos de cooperação e de coerência entre essas autoridades, incluindo no âmbito do CEPD que, no essencial, agrupa essas autoridades, poderia levar a pensar que este último é apenas uma instância de coordenação entre autoridades nacionais. Todavia, nos termos do artigo 68.o, n.o 1, do Regulamento 2016/679, o CEPD é criado enquanto organismo da União e está dotado de personalidade jurídica. Além disso, tem competência, nessa qualidade, para adotar, com fundamento nos artigos 64.o e 65.o do Regulamento 2016/679, pareceres e, no âmbito da resolução de litígios entre autoridades de controlo nacionais, decisões como a decisão impugnada, vinculativas para as autoridades de controlo interessadas, sendo esses pareceres e essas decisões, portanto, atos de um órgão da União.

37

Em seguida, há que observar que a decisão impugnada se destina a produzir efeitos jurídicos em relação a terceiros, uma vez que é uma «decisão vinculativa» para as autoridades de controlo interessadas, adotada com fundamento no artigo 65.o do Regulamento 2016/679.

38

No entanto, quando o recorrente não é um dos recorrentes, ditos «privilegiados», mencionados individualmente pelo nome no segundo parágrafo do artigo 263.o TFUE, é jurisprudência constante que, para poder ser objeto de um recurso por esse recorrente, o ato deve produzir efeitos jurídicos vinculativos suscetíveis de afetar os interesses do recorrente, alterando de forma caracterizada a sua situação jurídica (Acórdão de 11 de novembro de 1981, IBM/Comissão, 60/81, EU:C:1981:264, n.o 9; v., igualmente, Acórdão de 18 de novembro de 2010, NDSHT/Comissão, C‑322/09 P, EU:C:2010:701, n.o 45 e jurisprudência aí referida).

39

O Tribunal de Justiça declarou, igualmente, que, quando esse recorrente não seja destinatário do ato que impugna, o requisito segundo o qual o ato deve alterar de forma caracterizada a situação jurídica do recorrente se confunde com as condições consagradas no artigo 263.o, quarto parágrafo, TFUE, isto é, quando o ato impugnado não é um ato regulamentar que não necessite de medidas de execução, com a exigência de que o recorrente seja direta e individualmente afetado por esse ato (v., nesse sentido, Acórdão de 13 de outubro de 2011, Deutsche Post e Alemanha/Comissão, C‑463/10 P e C‑475/10 P, EU:C:2011:656, n.o 38).

40

No caso em apreço, pode observar‑se desde logo, atendendo à natureza do ato impugnado que é um ato individual, que a decisão impugnada diz individualmente respeito à WhatsApp, uma vez que versa sobre determinados aspetos de um projeto de decisão final da Autoridade de controlo irlandesa que lhe diz especificamente respeito. Contrariamente ao que alega o CEPD na tréplica, a decisão impugnada não se limita ao enunciado de princípios ou à interpretação de certas disposições do Regulamento 2016/679 que poderiam dizer respeito a qualquer responsável pelo tratamento. Na decisão impugnada, conforme exposto no n.o 11, supra, o CEPD pronuncia‑se sobre o cumprimento pela WhatsApp de algumas das suas obrigações à luz do Regulamento 2016/679, qualifica de dados pessoais elementos provenientes do processo designado «Lossy Hashing Procedure», que é um tratamento efetuado apenas pela WhatsApp, e pronuncia‑se sobre determinadas medidas corretivas a impor à WhatsApp, designadamente sobre certos aspetos da determinação das coimas a aplicar‑lhe. A decisão impugnada é, assim, específica à WhatsApp, mesmo que comporte, como muito frequentemente nos atos individuais, o enunciado ou a referência de princípios e interpretações de natureza geral.

41

Em seguida, deve ser examinada a questão de saber se a decisão impugnada produz efeitos jurídicos que alteram de forma caracterizada a situação jurídica da WhatsApp e se lhe diz diretamente respeito, na aceção do artigo 263.o, quarto parágrafo, TFUE.

42

Deste ponto de vista, há que observar, como sublinha desta vez acertadamente o CEPD, que a decisão impugnada não altera, em si mesma, a situação jurídica da WhatsApp. Com efeito, contrariamente à decisão final da Autoridade de controlo irlandesa, não lhe é diretamente oponível e constitui, a seu respeito, um ato preparatório, ou intermédio, num procedimento que, nos termos do disposto no artigo 58.o, n.o 2, e nos artigos 60.o, 63.o e 65.o do Regulamento 2016/679, referidos nos n.os 23 a 26 e no n.o 31, supra, deve precisamente ser concluído com a adoção de uma decisão final de uma autoridade de controlo nacional da qual essa empresa é destinatária (v., neste sentido e por analogia, Acórdão de 24 de junho de 1986, AKZO Chemie e AKZO Chemie UK/Comissão, 53/85, EU:C:1986:256, n.o 19).

43

A este respeito, foi declarado por diversas vezes que, nos processos que conduzam à elaboração de atos em várias fases, não constituem, em princípio, atos impugnáveis as medidas intermédias cujo objetivo é preparar a decisão final (v., neste sentido, Acórdãos de 11 de novembro de 1981, IBM/Comissão, 60/81, EU:C:1981:264, n.o 10, e de 26 de janeiro de 2010, Internationaler Hilfsfonds/Comissão, C‑362/08 P, EU:C:2010:40, n.o 52 e jurisprudência aí referida).

44

As exceções ao princípio recordado no n.o 43, supra, referem‑se aos casos em que a medida intermédia tem efeitos jurídicos autónomos em relação aos quais não possa ser assegurada uma proteção jurisdicional suficiente no âmbito de um recurso da decisão que põe termo ao procedimento (v., neste sentido, Acórdãos de 11 de novembro de 1981, IBM/Comissão, 60/81, EU:C:1981:264, n.os 11 e 12, e de 13 de outubro de 2011, Deutsche Post e Alemanha/Comissão, C‑463/10 P e C‑475/10 P, EU:C:2011:656, n.os 53 e 54). A título de exemplo, essas exceções foram identificadas no âmbito de um processo de fiscalização do cumprimentos das regras de concorrência aplicáveis às empresas (v., neste sentido, Acórdão de 24 de junho de 1986, AKZO Chemie e AKZO Chemie UK/Comissão, 53/85, EU:C:1986:256, n.o 20), no âmbito de um processo de fiscalização do cumprimento das regras em matéria de auxílios de Estado (v., neste sentido, Acórdão de 9 de outubro de 2001, Itália/Comissão, C‑400/99, EU:C:2001:528, n.os 55 a 63) e, no que respeita a uma medida acessória ou cautelar anterior a uma decisão definitiva, para a suspensão de um funcionário sujeito a um processo disciplinar (v., neste sentido, Acórdão de 5 de maio de 1966, Gutmann/Comissão, 18/65 e 35/65, EU:C:1966:24, p. 168).

45

No caso em apreço, uma proteção jurisdicional efetiva em relação à decisão impugnada é, pelo contrário, assegurada à WhatsApp pela via de recurso de que dispõe perante o juiz nacional contra a decisão final da Autoridade de controlo irlandesa, que permite apreciar a validade da decisão impugnada. Conforme prevê o disposto no artigo 78.o, n.o 1, do Regulamento 2016/679, que refere que o direito à ação judicial deve ser assegurado a todas as pessoas em cada Estado‑Membro contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito, a WhatsApp impugnou no órgão jurisdicional irlandês a decisão final decretada pela Autoridade de controlo irlandesa e pode invocar no âmbito desse recurso a ilegalidade das apreciações vinculativas constantes da decisão impugnada, retomadas nessa decisão final. A este respeito, há que recordar que o artigo 267.o TFUE permite invocar perante o juiz nacional a invalidade dos atos adotados pelas instituições, órgãos e organismos da União, prevendo que, sempre que o juiz nacional considerar que uma decisão sobre este ponto é necessária ao julgamento da causa, pode ou deve submeter ao Tribunal de Justiça da União Europeia uma questão prejudicial para a apreciação da validade. Se, no termo do processo prejudicial, o Tribunal de Justiça declarar que tal ato, se for preparatório de uma decisão emanada de uma autoridade de um Estado‑Membro, é inválido, o juiz nacional deve retirar daí as consequências quanto à legalidade dessa decisão que prejudica o interessado (v., neste sentido, Acórdãos de 30 de outubro de 1975, Rey Soda e o., 23/75, EU:C:1975:142, n.o 51, e de 20 de março de 2018, Šroubárna Ždánice/Conselho, T‑442/16, não publicado, EU:T:2018:159, n.o 34).

46

Além disso, a decisão impugnada não tem, em relação à WhatsApp, nenhum efeito jurídico autónomo relativamente à decisão final emanada da Autoridade de controlo irlandesa: todas as apreciações constantes da primeira são retomadas na segunda e a primeira não tem nenhum efeito independente do conteúdo da segunda, contrariamente ao que acontecia nas situações que deram origem aos Acórdãos de 5 de maio de 1966, Gutmann/Comissão (18/65 e 35/65, EU:C:1966:24), de 24 de junho de 1986, AKZO Chemie e AKZO Chemie UK/Comissão (53/85, EU:C:1986:256), e de 9 de outubro de 2001, Itália/Comissão (C‑400/99, EU:C:2001:528), mencionados no n.o 44, supra.

47

A este respeito, embora os princípios relembrados nos n.os 43 e 44, supra, tenham sido enunciados relativamente a processos que, para a decisão final, são da competência de instituições ou de outras entidades da União, nenhuma razão justifica que seja diferente quando, como no caso em apreço, a legislação da União confia a fiscalização da aplicação de regras particulares da União a autoridades nacionais específicas no âmbito de procedimentos que comportam várias fases, estando em causa uma medida intermédia adotada por um órgão da União por ocasião desse procedimento concluído por uma decisão de uma autoridade nacional.

48

É certo que a WhatsApp alega que a decisão impugnada consiste numa posição definitiva do CEPD que devia ser seguida pela Autoridade de controlo irlandesa na decisão final. Este argumento é entendido no sentido de que a decisão impugnada é, assim, necessariamente um ato impugnável e que se distingue das medidas intermédias que apenas exprimem uma opinião provisória e são, por si só, atos não impugnáveis.

49

No entanto, como foi recordado no n.o 38, supra, para que um ato seja impugnável por um recorrente que não os recorrentes, ditos privilegiados, mencionados no artigo 263.o TFUE, segundo parágrafo, esse ato deve, nomeadamente, alterar de forma caracterizada a sua situação jurídica. Ora, o facto de um ato intermédio expressar a posição definitiva de uma autoridade que deverá ser retomada na decisão final que encerra o procedimento em causa, como no caso em apreço, porque a decisão impugnada contém uma análise definitiva sobre certos aspetos da decisão final, não significa necessariamente que esse ato intermédio altere ele próprio de forma caracterizada a situação jurídica do recorrente, como se demonstra no caso em apreço nos n.os 42 a 47, supra. Na medida em que, como foi recordado no n.o 39, supra, este requisito se sobrepõe às condições estabelecidas no artigo 263.o, quarto parágrafo, TFUE, ou seja, designadamente com a necessidade de esse ato dizer diretamente respeito ao recorrente, pode verificar‑se se assim é no caso em apreço, examinando se a decisão impugnada diz diretamente respeito à WhatsApp.

50

Ora, como sustenta acertadamente o CEPD, a decisão impugnada não diz diretamente respeito à WhatsApp.

51

Com efeito, é jurisprudência constante que, para dizer diretamente respeito a um recorrente não destinatário de um ato, este ato deve, primeiro, produzir diretamente efeitos jurídicos na situação desse recorrente e, segundo, não deixar nenhum poder de apreciação aos seus destinatários encarregados da sua aplicação, já que esta é de caráter automático e decorre apenas da regulamentação da União, sem aplicação de normas intermédias (Acórdãos de 13 de maio de 1971, International Fruit Company e o./Comissão, 41/70 a 44/70, EU:C:1971:53, n.os 23 a 28, de 5 de maio de 1998, Dreyfus/Comissão, C‑386/96 P, EU:C:1998:193, n.o 43, e de 17 de setembro de 2009, Comissão/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, n.o 48).

52

No que respeita ao primeiro desses requisitos, como já foi dito no n.o 42, supra, a decisão impugnada não é oponível à WhatsApp para permitir, sem fase suplementar no processo, ser fonte de obrigações para ela, ou, sendo o caso, de direitos para outros particulares. Difere assim, por exemplo, dos atos que foram objeto do Acórdão de 23 de abril de 1986, Os Verdes/Parlamento (294/83, EU:C:1986:166), sobre os quais foi referido, no n.o 31 desse acórdão, para concluir que diziam diretamente respeito à associação recorrente, que «[constituíam] uma regulamentação completa, que se [bastava] a si própria e não [carecia] de qualquer disposição para a sua execução». No caso em apreço, a decisão impugnada não é a última fase do procedimento completo previsto nos artigos 58.o, 60.o e 65.o do Regulamento 2016/679.

53

No que respeita ao segundo desses requisitos, relativo ao poder de apreciação da autoridade responsável pela execução do ato em causa, deve observar‑se que, embora a decisão impugnada fosse vinculativa para a Autoridade de controlo irlandesa relativamente aos aspetos sobre os quais incidia, deixava‑lhe uma margem de apreciação quanto ao conteúdo da decisão final.

54

Com efeito, como resulta de uma comparação do conteúdo da decisão impugnada exposto no n.o 11, supra, que dá instruções às autoridades de controlo interessadas, e do conteúdo da decisão final dirigida à WhatsApp, exposto no n.o 8, supra, a decisão impugnada tem um conteúdo parcial em relação à decisão final.

55

Assim, as duas decisões têm em comum a declaração de uma violação pela WhatsApp do princípio da transparência enunciado no artigo 5.o, n.o 1, alínea a), e das obrigações enunciadas no artigo 13.o, n.o 1, alínea d), e no artigo 13.o, n.o 2, alínea e), do Regulamento 2016/679, a qualificação como dados pessoais dos elementos provenientes do processo designado «Lossy Hashing Procedure», aplicado aos dados relativos aos «contactos» não utilizadores do WhatsApp, que constam das listas de contactos dos aparelhos dos utilizadores do WhatsApp, a declaração de uma violação pela WhatsApp de obrigações enunciadas no artigo 14.o do Regulamento 2016/679 devido a essa qualificação, o prazo de três meses concedido à WhatsApp para passar a cumprir os requisitos enunciados no Regulamento 2016/679, certos aspetos das medidas corretivas, a saber as relativas aos dados pessoais dos não utilizadores do WhatsApp e à obrigação de fornecer aos utilizadores do WhatsApp as informações enunciadas no artigo 13.o, n.o 2, alínea e), do Regulamento 2016/679, a interpretação do critérios do quantum das coimas aplicadas à WhatsApp e o aumento do montante dessas coimas em relação ao nível total de 30 a 50 milhões de euros previsto no projeto de decisão da Autoridade de controlo irlandesa.

56

Em contrapartida, sobre os seguintes aspetos, a decisão final resulta da apreciação da Autoridade de controlo irlandesa sem que o CEPD tenha expressado, na decisão impugnada, uma posição a esse respeito: a declaração de uma violação pela WhatsApp de obrigações enunciadas no artigo 12.o, n.o 1, no artigo 13.o, n.o 1, alíneas c), e) e f), bem como no artigo 13.o, n.o 2, alíneas a) e c), do Regulamento 2016/679; a declaração do cumprimento pela WhatsApp das obrigações enunciadas no artigo 13.o, n.o 1, alíneas a) e b), bem como no artigo 13.o, n.o 2, alíneas b) e d), do Regulamento 2016/679; a qualidade da WhatsApp quando trata os dados pessoais dos não utilizadores da sua aplicação de mensagens; o essencial do conteúdo das medidas corretivas impostas à WhatsApp, a saber, as que visam assegurar o cumprimento das obrigações constantes do artigo 12.o, n.o 1, do artigo 13.o, n.o 1, alíneas c), d), e) e f), e do artigo 13.o, n.o 2, alíneas a) e c), do Regulamento 2016/679; a determinação concreta do nível das coimas aplicadas à WhatsApp, que resultou num total de 225 milhões de euros.

57

Há que observar, em especial, que a Autoridade de controlo irlandesa exerceu a sua margem de apreciação para retirar as consequências das instruções dadas na decisão impugnada no que respeita à qualificação como dados pessoais dos elementos provenientes do processo designado «Lossy Hashing Procedure» e no que respeita às coimas.

58

Quanto ao primeiro aspeto, ou seja, a questão do tratamento dos dados pessoais dos não utilizadores do WhatsApp, designadamente dos elementos provenientes do processo designado «Lossy Hashing Procedure», como decorre do n.o 111 da decisão final, a fase seguinte da análise destinada a determinar se a WhatsApp tinha violado, em relação a essas pessoas, as obrigações enunciadas no artigo 14.o do Regulamento 2016/679, era a de saber se, no que respeita ao tratamento dos dados pessoais em questão, a WhatsApp atuava enquanto responsável pelo tratamento ou enquanto simples subcontratante que agia por conta de um utilizador da sua aplicação de mensagens que tinha ativado a função «Contactos». Ora, essa fase da análise, que concluiu acolhendo a primeira hipótese, resulta de uma apreciação da Autoridade de controlo irlandesa sem que o CEPD tenha expressado na decisão impugnada uma posição a este respeito.

59

No que toca à determinação das coimas, embora a decisão impugnada contenha instruções no que respeita à interpretação dos critérios do quantum das coimas decretadas com fundamento no Regulamento 2016/679 e quanto ao aumento do montante total das coimas a aplicar no caso em apreço à WhatsApp em relação ao que estava previsto no projeto de decisão da Autoridade de controlo irlandesa, esta conservou a sua margem de apreciação para fixar o montante concreto das coimas a aplicar à WhatsApp. Aliás, como foi indicado no n.o 8, supra, antes de adotar a decisão final, a Autoridade de controlo irlandesa solicitou à WhatsApp as suas observações sobre as novas coimas que pretendia aplicar, o que é coerente com a constatação de que esta autoridade conservava uma margem de apreciação a este respeito. No caso em apreço, pode observar‑se que, na decisão final, foi o limite mínimo das novas coimas previstas pela Autoridade de controlo irlandesa que acabou por ser adotado.

60

Ora, a decisão final constitui um todo do qual não se pode separar as partes correspondentes às instruções constantes da decisão impugnada, fazendo uma «subdecisão» final para a qual a autoridade de controlo não teria nenhuma margem de apreciação. Com efeito, o inquérito e a decisão final da Autoridade de controlo irlandesa incidiram sobre a observância pela WhatsApp do princípio da transparência e de todas as obrigações concretas a ele ligadas enunciadas no Regulamento 2016/679. Foi, portanto, a prática global da WhatsApp a este respeito que foi analisada na decisão final e um mesmo aspeto dessa prática foi objeto de exame à luz de várias disposições relevantes do Regulamento 2016/679, por exemplo à luz do artigo 5.o, n.o 1, alínea a), do artigo 12.o, n.o 1, e das múltiplas disposições do artigo 13.o do Regulamento 2016/679, incidindo a decisão impugnada apenas sobre a análise à luz de algumas destas disposições. Não faria sentido separar da análise global efetuada na decisão final certos elementos particulares, quando o procedimento instaurado contra a WhatsApp, por iniciativa e sob a responsabilidade da Autoridade de controlo irlandesa enquanto autoridade de controlo principal, tinha por objeto a apreciação geral do respeito pela WhatsApp do princípio da transparência. Em especial, no que toca à determinação das sanções pecuniárias, a Autoridade de controlo irlandesa fixou o montante de cada uma das quatro coimas à luz do conjunto das violações declaradas, respetivamente, do artigo 5.o, n.o 1, alínea a), dos artigos 12.o, 13.o e 14.o do Regulamento 2016/679.

61

Por conseguinte, não se cumpre nenhum dos dois requisitos recordados no n.o 51, supra, que a cumprirem‑se permitiriam considerar que a decisão impugnada diz diretamente respeito à WhatsApp.

62

Decorre do que precede que o recurso da WhatsApp não é admissível.

63

O resultado desta análise é coerente com o que foi decidido em outros processos no âmbito dos quais um ato da União de caráter vinculativo relativo a empresas tem como destinatário um Estado‑Membro.

64

Assim, em matéria de fiscalização dos auxílios de Estado, foi declarado que, quando a Comissão adota uma decisão que declara ilegal e incompatível com o mercado interno um auxílio já concedido e ordena ao Estado‑Membro que o concedeu a recuperação dos auxílios pagos, os beneficiários desses auxílios são direta e individualmente afetados por essa decisão (v., neste sentido, Acórdão de 19 de outubro de 2000, Itália e Sardegna Lines/Comissão, C‑15/98 e C‑105/99, EU:C:2000:570, n.os 33 a 36). A este respeito, foi observado que, desde o momento da adoção de uma decisão desta natureza, esses beneficiários ficam expostos à recuperação dos auxílios que receberam encontrando‑se, assim, afetados na sua situação jurídica (Acórdão de 9 de junho de 2011, Comitato Venezia vuole vivere e o./Comissão, C‑71/09 P, C‑73/09 P e C‑76/09 P, EU:C:2011:368, n.o 56). Isto explica‑se pelo facto de, nessa fase, o procedimento de fiscalização estar concluído, sem necessidade de uma apreciação adicional quanto ao mérito, uma vez que os montantes a recuperar se determinam automaticamente em função da decisão da Comissão e dos auxílios anteriormente concedidos às empresas em causa, de o Estado‑Membro estar obrigado a proceder ele próprio à recuperação desses auxílios e a levá‑la a bom termo, salvo circunstâncias muito excecionais (v., neste sentido, Acórdãos de 7 de junho de 1988, Comissão/Grécia, 63/87, EU:C:1988:285, de 20 de setembro de 1990, Comissão/Alemanha, C‑5/89, EU:C:1990:320, n.os 15 e 16 e de 20 de março de 1997, Alcan Deutschland, C‑24/95, EU:C:1997:163) e de terceiros poderem agir com base na decisão da Comissão perante a administração em causa ou perante o juiz nacional para que os auxílios em questão sejam reembolsados, sem terem eles próprios de suportar o ónus da prova da ilegalidade da sua concessão (v., por analogia, Acórdão de 12 de fevereiro de 2008, CELF e Ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, n.os 23 e 39 a 41). No caso em apreço, a decisão impugnada não se situa numa fase análoga, uma vez que o procedimento de fiscalização não se concluía com a sua adoção, que as apreciações adicionais relativas ao cumprimento pela WhatsApp das disposições do Regulamento 2016/679 e a sanção aplicável deviam ainda ser efetuadas ou confirmadas pela autoridade de controlo principal e que a própria decisão impugnada não podia servir de título juridicamente vinculativo para impor obrigações à WhatsApp.

65

Já foi igualmente declarado que uma decisão da Comissão, dirigida a um Estado‑Membro, em que o informa de que um financiamento europeu a favor de uma empresa foi reduzido em relação ao que tinha sido previsto devido à não elegibilidade para esse financiamento de algumas despesas apresentadas pela empresa, dizia direta e individualmente respeito a esta última, pelo facto de a privar de uma parte da assistência financeira que lhe tinha sido inicialmente concedida, sem que o Estado‑Membro disponha de um poder de apreciação a este respeito (Acórdão de 4 de junho de 1992, Infortec/Comissão, C‑157/90, EU:C:1992:243, n.o 17). No entanto, no caso em apreço, contrariamente à decisão da Comissão que deu origem a essa apreciação, a decisão impugnada não é, conforme referido no n.o 52, supra, a última fase do procedimento completo em causa e, como foi constatado nos n.os 56 e 57, supra, deixou uma margem de apreciação à Autoridade de controlo irlandesa.

66

Em termos mais gerais, a inadmissibilidade do recurso da decisão impugnada interposto pela WhatsApp perante o Tribunal Geral inscreve‑se na lógica do sistema das vias de recurso jurisdicionais estabelecido pelo Tratado UE e pelo Tratado FUE.

67

Como dispõe o artigo 2.o do Tratado UE, a União funda‑se, nomeadamente, no respeito pelo Estado de direito. O artigo 6.o, n.o 1, do Tratado UE dispõe que a União reconhece os direitos, as liberdades e os princípios enunciados na Carta dos Direitos Fundamentais da União Europeia, cujo artigo 47.o garante o direito à ação e a um tribunal imparcial. O artigo 19.o do Tratado UE precisa que o Tribunal de Justiça da União Europeia garante o respeito do direito na interpretação e aplicação dos Tratados e, nomeadamente, decide, nos termos do disposto nos Tratados, sobre os recursos interpostos por um Estado‑Membro, por uma instituição ou por pessoas singulares ou coletivas e a título prejudicial, a pedido dos órgãos jurisdicionais nacionais, sobre a interpretação do direito da União ou sobre a validade dos atos adotados pelas instituições, bem como nos demais casos previstos pelos Tratados. O mesmo artigo prevê que os Estados‑Membros estabelecem as vias de recurso necessárias para assegurar uma tutela jurisdicional efetiva nos domínios abrangidos pelo direito da União.

68

Mais precisamente, o Tratado FUE, em particular o seu artigo 263.o, relativo aos recursos diretos perante o Tribunal de Justiça da União Europeia, e o seu artigo 267.o, relativo aos casos em que este último decide a título prejudicial, em especial sobre a validade e a interpretação dos atos adotados pelas instituições, órgãos ou organismos da União, estabeleceu um sistema completo de vias de recurso destinado a assegurar a fiscalização da legalidade dos atos da União (v., neste sentido, Acórdão de 25 de julho de 2002, Unión de Pequeños Agricultores/Conselho, C‑50/00 P, EU:C:2002:462, n.o 40). Participam neste sistema tanto o Tribunal de Justiça da União Europeia, do qual faz parte o Tribunal Geral, como os órgãos jurisdicionais nacionais. Nesse sistema, as pessoas que não podem, devido às condições de admissibilidade referidas no artigo 263.o TFUE, impugnar diretamente atos da União perante o Tribunal de Justiça da União Europeia têm a possibilidade de invocar, por exceção de ilegalidade, a invalidade do ato perante o juiz nacional, ao interpor recurso das medidas nacionais de aplicação desse ato. Nesta situação, compete ao juiz nacional, se considerar que uma decisão sobre esta questão é necessária ao julgamento da causa e tiver dúvidas sobre a validade desse ato, pedir ao Tribunal de Justiça que decida a título prejudicial (v. ainda, neste sentido e por analogia, Acórdão de 25 de julho de 2002, Unión de Pequeños Agricultores/Conselho, C‑50/00 P, EU:C:2002:462, n.o 40).

69

A lógica deste sistema, que explica, nomeadamente, a interpretação das condições de admissibilidade dos recursos diretos enunciadas no artigo 263.o TFUE, que foi relembrada no decurso da análise constante dos n.os 35 a 62, supra, é que a ação jurisdicional do Tribunal de Justiça da União Europeia e a dos órgãos jurisdicionais nacionais se completam de forma eficaz e que o juiz da União e o juiz nacional não sejam levados a pronunciar‑se em simultâneo, no âmbito de processos paralelos, sobre a validade de um mesmo ato da União, quer diretamente ou, no que diz respeito ao juiz nacional quando se interroga sobre a validade do ato em causa, na sequência de uma questão prejudicial. Esta lógica pôde, nomeadamente, justificar a declaração de que um recorrente que tinha, sem qualquer dúvida, a possibilidade de impugnar diretamente uma decisão da União perante o Tribunal de Justiça da União Europeia deixasse de poder pôr em causa ulteriormente a validade dessa decisão, designadamente no âmbito de um processo posterior perante o juiz nacional (v., neste sentido, Acórdão de 9 de março de 1994, TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, n.o 17; v., igualmente, neste sentido, Acórdão de 9 de junho de 2011, Comitato Venezia vuole vivere e o./Comissão, C‑71/09 P, C‑73/09 P e C‑76/09 P, EU:C:2011:368, n.o 58 e jurisprudência aí referida). Ao invés, é declarado reiteradamente que a ilegalidade de um ato da União não impugnável, que sirva de fundamento a outro ato, pode ser invocada no âmbito de um recurso desse segundo ato (Acórdão de 11 de novembro de 1981, IBM/Comissão, 60/81, EU:C:1981:264, n.o 12 e, a contrario, referências jurisprudenciais anteriores).

70

No caso em apreço, admitir a admissibilidade do recurso da WhatsApp contra a decisão impugnada conduziria à tramitação de dois processos judiciais paralelos, com sobreposições importantes, um no Tribunal Geral, pondo em causa a decisão impugnada, outro no órgão jurisdicional irlandês, pondo em causa a decisão final, na qual uma parte dos fundamentos assenta na decisão impugnada. Aliás, a WhatsApp invocou, para obter uma prorrogação do prazo para a apresentação da réplica no Tribunal Geral, o volume de trabalho paralelo que lhe era exigido pelo processo a correr no órgão jurisdicional irlandês. A menos que um dos dois órgãos jurisdicionais suspendesse a instância do processo nele instaurado, o que poderia traduzir‑se num aumento do tempo necessário para obter uma resolução definitiva quanto à legalidade da decisão final, esses processos paralelos poderiam mesmo conduzir à situação em que, simultaneamente, o Tribunal de Justiça, a título prejudicial, e o Tribunal Geral, pelo recurso direto da WhatsApp, seriam convidados a pronunciar‑se sobre a validade da decisão impugnada. Atendendo ao sistema de vias de recurso referido nos n.os 68 e 69, supra, e tendo em conta o disposto no artigo 78.o do Regulamento 2016/679, relativo ao direito à ação judicial contra uma autoridade de controlo, caberá, sendo o caso, ao órgão jurisdicional irlandês que conhece do processo, único competente a este respeito, fiscalizar a legalidade da decisão final oponível à WhatsApp, submetendo ao Tribunal de Justiça da União Europeia uma questão prejudicial para apreciação da validade da decisão impugnada, se a considerar necessária para decidir do litígio que opõe a WhatsApp à Autoridade de controlo irlandesa. A este respeito, o órgão jurisdicional irlandês chamado a pronunciar‑se pode dirimir o litígio que lhe foi submetido, quer julgando improcedente a exceção de ilegalidade que pode ser suscitada contra a decisão impugnada sem recorrer ao Tribunal de Justiça, se não tiver dúvidas sobre a validade dessa decisão, quer, pelo contrário, recorrendo ao Tribunal de Justiça se tiver tais dúvidas, quer ainda dirimindo o litígio, independentemente da questão da validade da decisão impugnada, tendo em conta os fundamentos que lhe foram apresentados. Esta solução está conforme com o interesse de uma boa administração da justiça, tendo em conta os riscos gerados pelos processos judiciais paralelos referidos no início do presente número.

71

Por último, há que salientar, no que respeita ao considerando 143 do Regulamento 2016/679, referido no n.o 33, supra, que pode dar a entender que um recurso como o da WhatsApp perante o Tribunal Geral é admissível, que um considerando de um regulamento, embora possa permitir esclarecer a interpretação a dar a uma regra jurídica, não pode constituir, em si mesmo, uma dessas regras e que o preâmbulo de um ato da União não tem valor jurídico vinculativo (v. Acórdão de 26 de outubro de 2017, Marine Harvest/Comissão, T‑704/14, EU:T:2017:753, n.o 150 e jurisprudência aí referida; v. igualmente, neste sentido, Acórdão de 24 de novembro de 2005, Deutsches Milch‑Kontor, C‑136/04, EU:C:2005:716, n.o 32 e jurisprudência aí referida). Ora, no caso em apreço, este considerando não constitui o fundamento de nenhuma disposição do Regulamento 2016/679, conforme salientado nos n.os 32 e 35, supra. Além disso, uma explicação que consta da fundamentação de um regulamento não pode prevalecer sobre as regras de direito primário aplicáveis que constam dos Tratados, designadamente sobre as do primeiro e quarto parágrafos do artigo 263.o TFUE, cujo conteúdo é aliás em parte referido no considerando em questão com a indicação, no primeiro período, de que «[q]ualquer pessoa singular ou coletiva têm o direito de interpor recurso de anulação das decisões do Comité para o Tribunal de Justiça nas condições previstas no [artigo 263.o TFUE]».

72

Resulta de tudo o que precede que o recurso deve ser julgado inadmissível.

73

Nos termos do artigo 142.o, n.o 2, do Regulamento de Processo, a intervenção é acessória do litígio principal e perde, nomeadamente, o seu objeto quando a petição seja declarada inadmissível.

74

Por conseguinte, não há que conhecer dos pedidos de intervenção, nem dos pedidos de proteção da confidencialidade de elementos dos autos a que deram origem.

75

Nos termos do artigo 134.o, n.o 1, do Regulamento de Processo, a parte vencida é condenada nas despesas se a parte vencedora o tiver requerido. Tendo a WhatsApp sido vencida, há que condená‑la nas despesas, em conformidade com os pedidos do CEPD, sem prejuízo do referido no n.o 76, infra.

76

Todavia, ao abrigo do artigo 144.o, n.o 10, do Regulamento de Processo, caso seja posto termo à instância no processo principal antes de ser proferida uma decisão sobre o pedido de intervenção, o requerente da intervenção e as partes principais suportam as suas próprias despesas relativas ao pedido de intervenção. No caso em apreço, a WhatsApp, o CEPD, a República da Finlândia, a Comissão, a Autoridade Europeia para a Proteção de Dados e a Computer & Communication Industry Association suportarão cada um as suas próprias despesas relativas aos pedidos de intervenção.

Pelos fundamentos expostos,

O TRIBUNAL GERAL (Quarta Secção alargada)

decide: