–

em representação da Facebook Ireland Ltd, da Facebook Inc. e da Facebook Belgium BVBA, por S. Raes, P. Lefebvre e D. Van Liedekerke, advocaten,

–

em representação da Gegevensbeschermingsautoriteit, por F. Debusseré e R. Roex, advocaten,

–

em representação do Governo belga, por J.‑C. Halleux, P. Cottin e C. Pochet, na qualidade de agentes, assistidos por P. Paepe, advocaat,

–

em representação do Governo checo, por M. Smolek, O. Serdula e J. Vláčil, na qualidade de agentes,

–

em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por G. Natale, avvocato dello Stato,

–

em representação do Governo polaco, por B. Majczyna, na qualidade de agente,

–

em representação do Governo português, por L. Inez Fernandes, A. C. Guerra, P. Barros da Costa e L. Medeiros, na qualidade de agentes,

–

em representação do Governo finlandês, por A. Laine e M. Pere, na qualidade de agentes,

–

em representação da Comissão Europeia, por H. Kranenborg, D. Nardi e P. J. O. Van Nuffel, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 55.o, n.o 1, dos artigos 56.o a 58.o e 60.o a 66.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação no JO 2018, L 127, p. 2), lidos em conjugação com os artigos 7.o, 8.o e 47.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Facebook Ireland Ltd, a Facebook Inc. e a Facebook Belgium BVBA, por um lado, à Gegevensbeschermingsautoriteit (Autoridade de Proteção de Dados, Bélgica) (a seguir «APD»), que sucedeu à Commissie ter bescherming van de persoonlijke levenssfeer (Comissão de Proteção da Vida Privada, Bélgica) (a seguir «CPVP»), e, por outro, a respeito de uma ação inibitória intentada pelo presidente desta última por meio da qual é pedido que cesse o tratamento de dados pessoais dos utilizadores de Internet no território belga, que a rede social em linha Facebook efetua através de cookies, módulos sociais (social plug‑ins) e de píxeis.

3

Os considerandos 1, 4, 10, 11, 13, 22, 123, 141 e 145 do Regulamento 2016/679 enunciam:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

O artigo 3.o deste regulamento, intitulado «Âmbito de aplicação territorial», prevê, no seu n.o 1:

«O presente regulamento aplica‑se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.»

5

O artigo 4.o do referido regulamento define, no seu ponto 16, o conceito de «estabelecimento principal» e, no seu ponto 23, o conceito de «tratamento transfronteiriço» do seguinte modo:

«16) “Estabelecimento principal”,

[…]

23) “Tratamento transfronteiriço”,

6

O artigo 51.o do mesmo regulamento, intitulado «Autoridade de controlo», prevê:

«1.   Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União […].

2.   As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.

[…]»

7

O artigo 55.o do Regulamento 2016/679, intitulado «Competência», que faz parte do capítulo VI deste regulamento, ele próprio intitulado «Autoridades de controlo independentes», dispõe:

«1.   As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.

2.   Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.o, n.o 1, alínea c) ou e), é competente a autoridade de controlo do Estado‑Membro em causa. Nesses casos, não é aplicável o artigo 56.o»

8

O artigo 56.o do referido regulamento, intitulado «Competência da autoridade de controlo principal», enuncia:

«1.   Sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o

2.   Em derrogação do n.o 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro.

3.   Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado‑Membro sobre o qual a autoridade de controlo a tenha informado.

4.   Quando a autoridade de controlo principal decide tratar o caso, aplica‑se o procedimento previsto no artigo 60.o A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60.o, n.o 3.

5.   Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.o e 62.o

6.   A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.»

9

O artigo 57.o do Regulamento 2016/679, intitulado «Atribuições», dispõe, no seu n.o 1:

«Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

[…]

[…]»

10

O artigo 58.o do mesmo regulamento, intitulado «Poderes», prevê, nos seus n.os 1, 4 e 5:

«1.   Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

[…]

[…]

4.   O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados‑Membros, em conformidade com a Carta.

5.   Os Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.»

11

No capítulo VII do Regulamento 2016/679, intitulado «Cooperação e coerência», a secção I, intitulada «Cooperação», compreende os artigos 60.o a 62.o deste regulamento. Este artigo 60.o, intitulado «Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», dispõe:

«1.   A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

2.   A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.o e pode realizar operações conjuntas nos termos do artigo 62.o, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados‑Membros.

3.   A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4.   Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o

5.   Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6.   Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera‑se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7.   A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité [Europeu para a Proteção de Dados] da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

8.   Em derrogação do n.o 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.

9.   Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. […]

10.   Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.

11.   Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica‑se o procedimento de urgência referido no artigo 66.o

[…]»

12

O artigo 61.o do referido regulamento, intitulado «Assistência mútua», enuncia, no seu n.o 1:

«As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.»

13

O artigo 62.o do mesmo regulamento, intitulado «Operações conjuntas das autoridades de controlo», prevê:

«1.   As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados‑Membros.

2.   Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados‑Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado‑Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados‑Membros tem direito a participar nas operações conjuntas. […]

[…]»

14

A secção 2, intitulada «Coerência», do capítulo VII do Regulamento 2016/679 compreende os artigos 63.o a 67.o deste regulamento. Este artigo 63.o, intitulado «Procedimento de controlo da coerência», tem a seguinte redação:

«A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.»

15

Nos termos do artigo 64.o, n.o 2, do referido regulamento:

«As autoridades de controlo, o presidente do Comité [Europeu para a Proteção de Dados] ou a Comissão podem solicitar que o Comité [Europeu para a Proteção de Dados] analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado‑Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.o ou de operações conjuntas previstas no artigo 62.o»

16

O artigo 65.o do mesmo regulamento, intitulado «Resolução de litígios pelo Comité», prevê, no seu n.o 1:

«A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité [Europeu para a Proteção de Dados] adota uma decisão vinculativa nos seguintes casos:

[…]»

17

O artigo 66.o do Regulamento 2016/679, intitulado «Procedimento de urgência», dispõe, nos seus n.os 1 e 2:

«1.   Em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência referido nos 63.o, 64.o e 65.o ou do procedimento a que se refere o artigo 60.o, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses. A autoridade de controlo dá sem demora conhecimento dessas medidas e dos motivos que a levaram a adotá‑la às outras autoridades de controlo interessadas, ao Comité [Europeu para a Proteção de Dados] e à Comissão.

2.   Quando a autoridade de controlo tiver tomado uma medida nos termos do n.o 1 e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité [Europeu para a Proteção de Dados], fundamentando o seu pedido de parecer ou decisão.»

18

O artigo 77.o deste regulamento, intitulado «Direito de apresentar reclamação a uma autoridade de controlo», prevê:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2.   A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78.o»

19

O artigo 78.o do referido regulamento, intitulado «Direito à ação judicial contra uma autoridade de controlo», dispõe:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

2.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados têm direito à ação judicial se a autoridade de controlo competente nos termos dos artigos 55.o e 56.o não tratar a reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado nos termos do artigo 77.o

3.   Os recursos contra as autoridades de controlo são interpostos nos tribunais do Estado‑Membro em cujo território se encontrem estabelecidas.

4.   Quando for interposto recurso de uma decisão de uma autoridade de controlo que tenha sido precedida de um parecer ou uma decisão do Comité [Europeu para a Proteção de Dados] no âmbito do procedimento de controlo da coerência, a autoridade de controlo transmite esse parecer ou decisão ao tribunal.»

20

O artigo 79.o do referido regulamento, intitulado «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», enuncia:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.

2.   Os recursos contra os responsáveis pelo tratamento ou os subcontratantes são propostos nos tribunais do Estado‑Membro em que tenham estabelecimento. Em alternativa, os recursos podem ser interpostos nos tribunais do Estado‑Membro em que o titular dos dados tenha a sua residência habitual, salvo se o responsável pelo tratamento ou o subcontratante for uma autoridade de um Estado‑Membro no exercício dos seus poderes públicos.»

21

A wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (Lei relativa à Proteção da Privacidade no que diz respeito ao Tratamento de Dados Pessoais), de 8 de dezembro de 1992 (Belgisch Staatsblad, 18 de março de 1993, p. 5801), conforme alterada pela Lei de 11 de dezembro de 1998 (Belgisch Staatsblad, 3 de fevereiro de 1999, p. 3049) (a seguir «Lei de 8 de dezembro de 1992»), transpôs para o direito belga a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

22

A Lei de 8 de dezembro de 1992 criou a CPVP, um organismo independente que tem por missão garantir que o tratamento dos dados pessoais seja feito conformidade com esta lei, de modo a preservar a vida privada dos cidadãos.

23

O artigo 32.o, n.o 3, da Lei de 8 de dezembro de 1992 dispõe o seguinte:

«Sem prejuízo da competência dos tribunais comuns para aplicarem os princípios gerais em matéria de proteção da vida privada, o presidente da [CPVP] pode submeter ao tribunal de première instance [Tribunal de Primeira Instância] qualquer litígio relativo à aplicação da presente lei e das respetivas medidas de execução.»

24

A wet tot oprichting van de Gegevensbeschermingsautoriteit (Lei relativa à Criação da Autoridade de Proteção de Dados), de 3 de dezembro de 2017 (Belgisch Staatsblad, 10 de janeiro de 2018, p. 989, a seguir «Lei de 3 de dezembro de 2017»), que entrou em vigor em 25 de maio de 2018, instituiu a APD como autoridade de controlo, na aceção do Regulamento 2016/679.

25

O artigo 3.o da Lei de 3 de dezembro de 2017 prevê:

«É instituída junto da Chambre des représentants [Câmara de Representantes] uma “Autoridade de Proteção de Dados”. Sucede à [CPVP].»

26

O artigo 6.o da Lei de 3 de dezembro de 2017 dispõe:

«A [APD] tem poderes para denunciar quaisquer violações aos princípios fundamentais da proteção de dados pessoais, no âmbito da presente lei e das leis que contêm disposições relativas à proteção do tratamento de dados pessoais, às autoridades judiciais e, se necessário, para intentar uma ação ou de outro modo intervir em processos judiciais para que estes princípios fundamentais sejam aplicados.»

27

Não está prevista nenhuma disposição específica para os processos judiciais que tivessem sido instaurados pelo presidente da CPVP antes de 25 de maio de 2018 ao abrigo do artigo 32.o, n.o 3, da Lei de 8 de dezembro de 1992. No que diz respeito apenas às queixas ou aos pedidos apresentados à própria APD, o artigo 112.o da Lei de 3 de dezembro de 2017 enuncia:

«O capítulo VI não se aplica às queixas nem aos pedidos que ainda se encontrassem pendentes na [APD] no momento da entrada em vigor da presente lei. As queixas ou os pedidos referidos no parágrafo 1 serão tratados pela [APD], na qualidade de sucessora legal da [CPVP], ao abrigo do processo aplicável antes da entrada em vigor da presente lei.»

28

A Lei de 8 de dezembro de 1992 foi revogada pela wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Lei relativa à Proteção das Pessoas Singulares no que diz respeito ao Tratamento de Dados Pessoais), de 30 de julho de 2018 (Belgisch Staatsblad, 5 de setembro de 2018, p. 68616, a seguir «Lei de 30 de julho de 2018»). Esta última lei visa implementar, no direito belga, as disposições do Regulamento 2016/679 que impõem ou permitem aos Estados‑Membros adotar regras mais pormenorizadas, em complemento deste regulamento.

29

Em 11 de setembro de 2015, o presidente da CPVP intentou uma ação inibitória contra a Facebook Ireland, a Facebook Inc. e a Facebook Belgium no Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primeira Instância de Língua Neerlandesa de Bruxelas, Bélgica). Não gozando a CPVP de personalidade jurídica, cabia ao seu presidente intentar ações para garantir que a legislação em matéria de proteção de dados pessoais fosse respeitada. Todavia, a própria CPVP pediu, de forma voluntária, para intervir no processo instaurado pelo seu presidente.

30

Por meio desta ação inibitória, o presidente da CPVP pretendia pôr termo àquilo que a CPVP descreve, nomeadamente, como uma «violação grave e de grande escala, cometida pela Facebook, da legislação em matéria de proteção da vida privada» que consistia na recolha por esta rede social em linha de informações sobre o comportamento de navegação tanto dos detentores de uma conta Facebook como dos não utilizadores dos serviços Facebook através de diferentes tecnologias, como os cookies, os módulos sociais (por exemplo, os botões «Gosto» ou «Partilhar») ou os píxeis. Estes elementos permitem que a rede social em causa obtenha determinados dados de um internauta que consulte uma página de um sítio Internet nos quais aqueles dados se encontrem, como o endereço dessa página, o «endereço IP» do visitante da referida página, bem como a data e a hora da consulta em causa.

31

Por Decisão de 16 de fevereiro de 2018, o Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primeira Instância de Língua Neerlandesa de Bruxelas) declarou‑se competente para conhecer da referida ação inibitória, na parte em que visava a Facebook Ireland, a Facebook Inc. e a Facebook Belgium, e julgou inadmissível o pedido de intervenção voluntária apresentado pela CPVP.

32

Quanto ao mérito, esse órgão jurisdicional declarou que a rede social em causa não informava de forma suficiente os internautas belgas sobre a recolha das informações em causa e sobre a utilização destas informações. Por outro lado, o consentimento dado pelos internautas à recolha e ao tratamento das referidas informações foi julgado inválido. Por conseguinte, o Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primeira Instância de Língua Neerlandesa de Bruxelas) ordenou que a Facebook Ireland, a Facebook Inc. e a Facebook Belgium, primeiro, relativamente a qualquer internauta estabelecido no território belga, deixassem de colocar, sem o seu consentimento, cookies que permanecem ativos durante dois anos no dispositivo que o internauta utiliza quando navega numa página da Internet que tenha o nome de domínio Facebook.com ou quando é direcionado para o sítio Internet de um terceiro, bem como de colocar cookies e recolher dados através de módulos sociais, píxeis ou meios tecnológicos semelhantes em sítios Internet de terceiros, de forma excessiva atendendo aos objetivos assim prosseguidos pela rede social Facebook, segundo, deixassem de fornecer informações que podem razoavelmente induzir em erro as pessoas em causa quanto ao alcance real dos mecanismos disponibilizados por esta rede social para a utilização de cookies e, terceiro, destruíssem todos os dados pessoais obtidos através de cookies e de módulos sociais.

33

Em 2 de março de 2018, a Facebook Ireland, a Facebook Inc. e a Facebook Belgium interpuseram recurso desta decisão no hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica). Perante este órgão jurisdicional, a APD atua como sucessora legal tanto do presidente da CPVP, que tinha intentado a ação inibitória, como da própria CPVP.

34

O órgão jurisdicional de reenvio só se declarou competente para se pronunciar sobre o recurso interposto na parte em que este diz respeito à Facebook Belgium. Em contrapartida, declarou‑se incompetente para conhecer do recurso no que respeita à Facebook Ireland e à Facebook Inc.

35

Antes de se pronunciar sobre o mérito do litígio no processo principal, o órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se a APD tem a legitimidade processual e o interesse em agir necessários. Segundo a Facebook Belgium, a ação inibitória intentada é inadmissível no que respeita aos factos anteriores a 25 de maio de 2018, na medida em que, na sequência da entrada em vigor da Lei de 3 de dezembro de 2017 e do Regulamento 2016/679, foi revogado o artigo 32.o, n.o 3, da Lei de 8 de dezembro de 1992, que constitui a base jurídica para intentar semelhante ação. No que respeita aos factos posteriores a 25 de maio de 2018, a Facebook Belgium alega que a APD não tem competência e não dispõe de um direito de intentar esta ação devido ao mecanismo de «balcão único», que passou a estar previsto em aplicação das disposições do Regulamento 2016/679. Com efeito, com base nestas disposições, só o Data Protection Commissioner (Comissário para a Proteção de Dados, Irlanda) é competente para intentar uma ação inibitória contra a Facebook Ireland, uma vez que esta última é a única responsável pelo tratamento dos dados pessoais dos utilizadores da rede social em causa na União.

36

O órgão jurisdicional de reenvio considerou que a APD não possuía o interesse em agir necessário para intentar esta ação inibitória na parte em que esta tem por objeto factos anteriores a 25 de maio de 2018. No que respeita aos factos posteriores a esta data, o órgão jurisdicional de reenvio tem dúvidas quanto ao impacto da entrada em vigor do Regulamento 2016/679, nomeadamente quanto à aplicação do mecanismo de «balcão único» que este regulamento prevê, nas competências da APD e no poder desta última para intentar esta ação inibitória.

37

Em especial, segundo o órgão jurisdicional de reenvio, a questão que agora se coloca é a de saber se, relativamente aos factos posteriores a 25 de maio de 2018, a APD pode agir contra a Facebook Belgium, uma vez que a Facebook Ireland foi identificada como sendo a responsável pelo tratamento dos dados em causa. Desde esta data e ao abrigo do princípio de «balcão único», parece que, nos termos do artigo 56.o do Regulamento 2016/679, só o Comissário para a Proteção de Dados é competente, sob fiscalização exclusiva dos tribunais irlandeses.

38

O órgão jurisdicional de reenvio recorda que, no Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), o Tribunal de Justiça declarou que a «autoridade de controlo alemã» era competente para se pronunciar sobre um litígio em matéria de proteção de dados pessoais, embora o responsável pelo tratamento dos dados em causa estivesse sediado na Irlanda e a filial deste que tinha sede na Alemanha, a saber, a Facebook Germany GmbH, só estivesse envolvida na venda de espaços publicitários e noutras atividades de marketing no território alemão.

39

Todavia, no processo que deu origem àquele acórdão, foi submetido ao Tribunal de Justiça um pedido de decisão prejudicial que tinha por objeto a interpretação das disposições da Diretiva 95/46, que foi revogada pelo Regulamento 2016/679. O órgão jurisdicional de reenvio interroga‑se em que medida a interpretação dada pelo Tribunal de Justiça no referido acórdão continua a ser pertinente no que respeita à aplicação do Regulamento 2016/679.

40

O órgão jurisdicional de reenvio menciona igualmente uma Decisão do Bundeskartellamt (Autoridade Federal da Concorrência, Alemanha), de 6 de fevereiro de 2019 (Decisão dita «Facebook»), na qual esta autoridade da concorrência considerou, no essencial, que a empresa em causa abusava da sua posição por concentrar dados provenientes de diferentes fontes, o que, doravante, só poderia passar a ser feito com o consentimento expresso dos utilizadores, sendo certo que o utilizador que não dê o seu consentimento não pode ser excluído dos serviços Facebook. O órgão jurisdicional de reenvio salienta que, manifestamente, a referida autoridade da concorrência se considerou competente, não obstante o mecanismo de «balcão único».

41

Além disso, o órgão jurisdicional de reenvio entende que o artigo 6.o da Lei de 3 de dezembro de 2017, que permite, em princípio, à APD, se necessário, intentar uma ação ou de outro modo intervir em processos judiciais, não implica que a ação desta possa, em quaisquer circunstâncias, ser intentada nos órgãos jurisdicionais belgas, uma vez que o mecanismo do «balcão único» parece impor que tal ação deve ser intentada no tribunal do lugar no qual o tratamento dos dados é efetuado.

42

Nestas condições, o hof van beroep te Brussel (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

43

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 55.o, n.o 1, os artigos 56.o a 58.o, bem como os artigos 60.o a 66.o do Regulamento 2016/679, lidos em conjugação com os artigos 7.o, 8.o e 47.o da Carta, devem ser interpretados no sentido de que uma autoridade de controlo de um Estado‑Membro que, nos termos da legislação nacional adotada em execução do artigo 58.o, n.o 5, deste regulamento, está habilitada a dar conhecimento das violações do referido regulamento às autoridades judiciais desse Estado‑Membro e, se necessário, a intentar uma ação ou de outro modo intervir em processos judiciais pode exercer esse poder em relação ao tratamento de dados transfronteiriço, embora não seja a «autoridade de controlo principal», na aceção do artigo 56.o, n.o 1, do mesmo regulamento, no que se refere a tal tratamento de dados.

44

A este respeito, importa recordar, a título preliminar, que, por um lado, ao contrário da Diretiva 95/46, que foi adotada ao abrigo do artigo 100.o‑A do Tratado CE, relativo à harmonização do mercado comum, o Regulamento 2016/679 tem como base jurídica o artigo 16.o TFUE, que consagra o direito de todas as pessoas à proteção de dados de caráter pessoal e autoriza o Parlamento Europeu e o Conselho da União Europeia a estabelecerem normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento destes dados pelas instituições, órgãos e organismos da União, bem como pelos Estados‑Membros, no exercício de atividades relativas à aplicação do direito da União, e à livre circulação destes dados. Por outro lado, o considerando 1 deste regulamento afirma que «[a] proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental» e recorda que o artigo 8.o, n.o 1, da Carta e o artigo 16.o, n.o 1, TFUE estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

45

Por conseguinte, conforme decorre do artigo 1.o, n.o 2, do Regulamento 2016/679, lido em conjugação com os considerandos 10, 11 e 13 deste regulamento, este último impõe às instituições, aos órgãos e organismos da União, bem como às autoridades competentes dos Estados‑Membros, a tarefa de assegurar um nível elevado de proteção dos direitos garantidos no artigo 16.o TFUE e no artigo 8.o da Carta.

46

Além disso, como o considerando 4 deste regulamento enuncia, este regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta.

47

É com este pano de fundo que o artigo 55.o, n.o 1, do Regulamento 2016/679 estabelece a competência das autoridades de controlo para prosseguirem as atribuições e exercerem os poderes que lhes são conferidos, por este regulamento, no território do seu próprio Estado‑Membro (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 147).

48

Entre as atribuições que são conferidas a estas autoridades de controlo figuram, designadamente, a de controlar e executar a aplicação do Regulamento 2016/679 e velar pelo respeito deste, atribuição que se encontra prevista no artigo 57.o, n.o 1, alínea a), deste regulamento, bem como a atribuição de cooperar, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do referido regulamento, prevista no artigo 57.o, n.o 1, alínea g), do mesmo regulamento. Entre os poderes conferidos às referidas autoridades de controlo para prosseguirem estas atribuições figuram diversos poderes de investigação, previstos no artigo 58.o, n.o 1, do Regulamento 2016/679, bem como o poder, previsto no artigo 58.o, n.o 5, deste último, de dar conhecimento às autoridades judiciais de quaisquer violações a este regulamento e, se necessário, de intentar uma ação ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do referido regulamento.

49

Contudo, o exercício destas atribuições e destes poderes pressupõe que uma autoridade de controlo dispõe de competência relativamente a um determinado tratamento de dados.

50

A este respeito, sem prejuízo da regra de competência enunciada no artigo 55.o, n.o 1, do Regulamento 2016/679, o artigo 56.o, n.o 1, deste regulamento prevê, para os casos de «tratamento transfronteiriço», na aceção do seu artigo 4.o, n.o 23, o mecanismo de «balcão único», baseado numa repartição de competências entre uma «autoridade de controlo principal» e as outras autoridades de controlo interessadas. Ao abrigo deste mecanismo, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado por este responsável pelo tratamento ou por este subcontratante, nos termos do procedimento previsto no artigo 60.o do referido regulamento.

51

Este último artigo estabelece o procedimento de cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas. No âmbito deste procedimento, a autoridade de controlo principal deve, nomeadamente, procurar alcançar um consenso. Para o efeito, nos termos do artigo 60.o, n.o 3, do Regulamento 2016/679, a autoridade de controlo principal envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

52

Resulta mais concretamente dos artigos 56.o e 60.o do Regulamento 2016/679 que, nos casos de «tratamento transfronteiriço», na aceção do artigo 4.o, n.o 23, deste regulamento, e sob reserva do artigo 56.o, n.o 2, do mesmo regulamento, as diferentes autoridades de controlo nacionais interessadas devem cooperar, de acordo com o procedimento previsto nestas disposições, para alcançarem um consenso e uma decisão única que vincule todas estas autoridades, devendo o responsável pelo tratamento assegurar o seu respeito relativamente às atividades de tratamento no âmbito de todos os seus estabelecimentos na União. Por outro lado, o artigo 61.o, n.o 1, do referido regulamento obriga nomeadamente as autoridades de controlo a prestarem entre si informações úteis e assistência mútua a fim de executar e aplicar o mesmo regulamento de forma coerente em toda a União. O artigo 63.o do Regulamento 2016/679 precisa que é com este objetivo que foi previsto o procedimento de controlo da coerência, estabelecido nos seus artigos 64.o e 65.o [Acórdão de 24 de setembro de 2019, Google (Âmbito territorial da supressão de referências), C‑507/17, EU:C:2019:772, n.o 68].

53

Por conseguinte, a aplicação do mecanismo de «balcão único» exige, como o considerando 13 do Regulamento 2016/679 confirma, uma cooperação leal e eficaz entre a autoridade de controlo principal e as outras autoridades de controlo interessadas. Por este motivo, como salientou o advogado‑geral no n.o 111 das suas conclusões, a autoridade de controlo principal não pode ignorar as posições das outras autoridades de controlo interessadas e qualquer objeção pertinente e fundamentada formulada por uma destas últimas autoridades tem por efeito bloquear, pelo menos temporariamente, a adoção do projeto de decisão da autoridade de controlo principal.

54

Assim, em conformidade com o artigo 60.o, n.o 4, do Regulamento 2016/679, quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o deste regulamento, para que o Comité Europeu para a Proteção de Dados adote uma decisão vinculativa, ao abrigo do artigo 65.o, n.o 1, alínea a), do referido regulamento.

55

Nos termos do artigo 60.o, n.o 5, do Regulamento 2016/679, se a autoridade de controlo principal pretender, em contrapartida, dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no artigo 60.o, n.o 4, deste regulamento no prazo de duas semanas.

56

Em conformidade com o disposto no artigo 60.o, n.o 7, do mesmo regulamento, é à autoridade de controlo principal que cabe, em princípio, adotar uma decisão, notificá‑la ao estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informar as outras autoridades de controlo interessadas e o Comité Europeu para a Proteção de Dados da decisão em causa, incluindo um sumário dos factos e motivos pertinentes.

57

Feita esta chamada de atenção, importa sublinhar que o Regulamento 2016/679 prevê exceções ao princípio da competência decisória da autoridade de controlo principal no âmbito do mecanismo de «balcão único» previsto no artigo 56.o, n.o 1, do referido regulamento.

58

Entre estas exceções figura, em primeiro lugar, o artigo 56.o, n.o 2, do Regulamento 2016/679, que prevê que uma autoridade de controlo que não seja a autoridade de controlo principal é competente para tratar reclamações que lhe sejam apresentadas e que digam respeito a um tratamento transfronteiriço de dados pessoais ou a eventuais violações deste regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro.

59

Em segundo lugar, o artigo 66.o do Regulamento 2016/679 prevê, em derrogação aos mecanismos de controlo da coerência previstos nos artigos 60.o e 63.o a 65.o deste regulamento, um procedimento de urgência. Este procedimento de urgência permite, em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses, prevendo ainda o artigo 66.o, n.o 2, do Regulamento 2016/679 que, quando a autoridade de controlo tiver tomado uma medida nos termos do n.o 1 e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité Europeu para a Proteção de Dados, fundamentando o seu pedido de parecer ou decisão.

60

Contudo, ao exercerem esta competência, as autoridades de controlo devem respeitar uma cooperação leal e eficaz com a autoridade de controlo principal, em conformidade com o procedimento previsto no artigo 56.o, n.os 3 a 5, do Regulamento 2016/679. Com efeito, neste caso, em aplicação do artigo 56.o, n.o 3, deste regulamento, a autoridade de controlo interessada deve informar sem demora a autoridade de controlo principal, a qual, no prazo de três semanas a contar do momento em que tiver sido informada, decide se trata o caso.

61

Ora, nos termos do artigo 56.o, n.o 4, do Regulamento 2016/679, se a autoridade de controlo principal decidir tratar o caso, aplica‑se o procedimento de cooperação previsto no artigo 60.o deste regulamento. Neste contexto, a autoridade de controlo que informou a autoridade de controlo principal pode apresentar‑lhe um projeto de decisão e esta última deve ter esse projeto na melhor conta quando elabora o projeto de decisão referido no artigo 60.o, n.o 3, do mesmo regulamento.

62

Em contrapartida, em aplicação do artigo 56.o, n.o 5, do Regulamento 2016/679, se a autoridade de controlo principal decidir não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.o e 62.o deste regulamento, os quais exigem às autoridades de controlo que respeitem regras de assistência mútua e de cooperação no âmbito de operações conjuntas, para assegurar uma cooperação eficaz entre as autoridades interessadas.

63

Decorre do que precede que, por um lado, em matéria de tratamento transfronteiriço de dados pessoais, a competência da autoridade de controlo principal para adotar uma decisão que constate que tal tratamento viola as regras relativas à proteção dos direitos das pessoas singulares no que diz respeito ao tratamento de dados pessoais constantes do Regulamento 2016/679 constitui a regra, ao passo que a competência das outras autoridades de controlo interessadas para adotar essa decisão, mesmo a título provisório, constitui a exceção. Por outro lado, embora a competência de princípio da autoridade de controlo principal seja confirmada pelo artigo 56.o, n.o 6, do Regulamento 2016/679, nos termos do qual a autoridade de controlo principal é o «único interlocutor» do responsável pelo tratamento ou do subcontratante para o tratamento transfronteiriço efetuado por este responsável pelo tratamento ou por este subcontratante, esta autoridade deve exercer essa competência no âmbito de uma cooperação estreita com as outras autoridades de controlo interessadas. Em especial, a autoridade de controlo principal não pode prescindir, no exercício das suas competências, como foi salientado no n.o 53 do presente acórdão, de um diálogo indispensável, nem de uma cooperação leal e eficaz com as outras autoridades de controlo interessadas.

64

A este respeito, resulta do considerando 10 do Regulamento 2016/679 que este último visa, designadamente, assegurar em toda a União uma aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais e eliminar os obstáculos à circulação de dados pessoais na União.

65

Ora, este objetivo e o efeito útil do mecanismo de «balcão único» poderiam ficar comprometidos se uma autoridade de controlo que não é, quando esteja em causa um tratamento de dados transfronteiriço, a autoridade de controlo principal pudesse exercer o poder previsto no artigo 58.o, n.o 5, do Regulamento 2016/679 fora dos casos para os quais é competente para adotar uma decisão como referido no n.o 63 do presente acórdão. Com efeito, o exercício de tal poder visa conduzir a uma decisão judicial vinculativa, a qual é tão suscetível de prejudicar este objetivo e este mecanismo como uma decisão tomada por uma autoridade de controlo que não seja a autoridade de controlo principal.

66

Contrariamente ao que a APD sustenta, a circunstância de uma autoridade de controlo de um Estado‑Membro que não seja a autoridade de controlo principal só poder exercer o poder previsto no artigo 58.o, n.o 5, do Regulamento 2016/679 se respeitar as regras de repartição das competências decisórias previstas, em especial, nos artigos 55.o e 56.o deste regulamento, lidos em conjugação com o artigo 60.o deste último, é conforme com os artigos 7.o, 8.o e 47.o da Carta.

67

Por um lado, no que respeita ao argumento relativo a uma alegada violação dos artigos 7.o e 8.o da Carta, há que recordar que este artigo 7.o garante a todas as pessoas o direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações, ao passo que o artigo 8.o, n.o 1, da Carta, tal como o artigo 16.o, n.o 1, TFUE, reconhece expressamente a qualquer pessoa o direito à proteção dos dados de caráter pessoal que lhe digam respeito. Ora, decorre, em especial, do artigo 51.o, n.o 1, do Regulamento 2016/679 que cabe às autoridades de controlo a responsabilidade pela fiscalização da aplicação deste regulamento, nomeadamente, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais. Daqui resulta que, em conformidade com o que foi exposto no n.o 45 do presente acórdão, as regras de repartição das competências decisórias entre a autoridade de controlo principal e as outras autoridades de controlo, previstas neste regulamento, não prejudicam a responsabilidade que incumbe a cada uma destas autoridades de contribuir para um nível elevado de proteção destes direitos, no respeito destas regras e das exigências de cooperação e de assistência mútua recordadas no n.o 52 do presente acórdão.

68

Isto significa, em especial, que o mecanismo de «balcão único» não pode, em caso nenhum, conduzir a que uma autoridade de controlo nacional, em especial a autoridade de controlo principal, não assuma a responsabilidade que lhe incumbe ao abrigo do Regulamento 2016/679 de contribuir para uma proteção eficaz das pessoas singulares contra violações dos seus direitos fundamentais recordados no número anterior do presente acórdão, sob pena de encorajar a prática de um forum shopping, nomeadamente por parte dos responsáveis pelo tratamento, que visa contornar estes direitos fundamentais e a aplicação efetiva das disposições deste regulamento que lhes dá execução.

69

Por outro lado, também não procede a argumentação relativa a uma alegada violação do direito à ação, garantido pelo artigo 47.o da Carta. Com efeito, o enquadramento, exposto nos n.os 64 e 65 do presente acórdão, da possibilidade de uma autoridade de controlo diferente da autoridade de controlo principal exercer o poder previsto no artigo 58.o, n.o 5, do Regulamento 2016/679, quando esteja em causa um tratamento transfronteiriço de dados pessoais, não prejudica o direito reconhecido a qualquer pessoa, pelo artigo 78.o, n.os 1 e 2, deste regulamento, de intentar uma ação que tenha nomeadamente por objeto uma decisão juridicamente vinculativa que lhe diga respeito tomada por uma autoridade de controlo ou que tenha por objeto o facto de uma autoridade de controlo dotada de poder de decisão, nos termos dos artigos 55.o e 56.o do referido regulamento, lidos em conjugação com o artigo 60.o deste último, não ter tratado uma reclamação que apresentou.

70

É este, em especial, o caso da hipótese enunciada no artigo 56.o, n.o 5, do Regulamento 2016/679, nos termos da qual, conforme foi salientado no n.o 62 do presente acórdão, a autoridade de controlo que forneceu a informação ao abrigo do artigo 56.o, n.o 3, deste regulamento pode tratar o caso em conformidade com o disposto nos seus artigos 61.o e 62.o, se a autoridade de controlo principal decidir, depois disso ter sido informada, que não o tratará ela própria. No âmbito de tal tratamento, não se pode aliás excluir que a autoridade de controlo interessada possa, eventualmente, decidir exercer o poder que o artigo 58.o, n.o 5, do Regulamento 2016/679 lhe confere.

71

Feita esta precisão, importa sublinhar que o exercício do poder de uma autoridade de controlo de um Estado‑Membro de recorrer aos órgãos jurisdicionais do seu Estado não pode ser excluído se, depois de ter requerido a assistência mútua da autoridade de controlo principal, ao abrigo do artigo 61.o do Regulamento 2016/679, esta última não lhe fornecer as informações pedidas. Neste caso de figura, nos termos do artigo 61.o, n.o 8, deste regulamento, a autoridade de controlo interessada pode adotar uma medida provisória no território do seu Estado‑Membro e, se considerar que devem urgentemente ser adotadas medidas definitivas, essa autoridade pode, em conformidade com o artigo 66.o, n.o 2, do referido regulamento, solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité Europeu para a Proteção de Dados. Além disso, nos termos do artigo 64.o, n.o 2, do mesmo regulamento, as autoridades de controlo podem solicitar que o Comité Europeu para a Proteção de Dados analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado‑Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.o deste. Ora, após a adoção de tal parecer ou de tal decisão, e desde que o Comité Europeu para a Proteção de Dados com isso esteja de acordo depois de ter examinado o conjunto das circunstâncias pertinentes, a autoridade de controlo interessada deve poder tomar as medidas necessárias para assegurar o respeito pelas regras relativas à proteção dos direitos das pessoas singulares no que diz respeito ao tratamento de dados pessoais que figuram no Regulamento 2016/679 e, a esse título, exercer o poder que o artigo 58.o, n.o 5, deste regulamento lhe confere.

72

Com efeito, a partilha de competências e de responsabilidades entre as autoridades de controlo assenta necessariamente na premissa de uma cooperação leal e eficaz entre estas autoridades, bem como com a Comissão, a fim de assegurar a aplicação correta e coerente deste regulamento, como o seu artigo 51.o, n.o 2, confirma.

73

No presente caso, caberá ao órgão jurisdicional de reenvio determinar se as regras de repartição das competências, bem como os procedimentos e os mecanismos pertinentes previstos no Regulamento 2016/679, foram corretamente aplicados no âmbito do processo principal. Em especial, incumbir‑lhe‑á verificar se, embora a APD não seja a autoridade de controlo principal neste processo, o tratamento em causa, na medida em que visa comportamentos da rede social em linha Facebook posteriores a 25 de maio de 2018, está abrangido nomeadamente pela situação visada no n.o 71 do presente acórdão.

74

A este respeito, o Tribunal de Justiça observa que o Comité Europeu para a Proteção de Dados, no seu Parecer 5/2019, de 12 de março de 2019, relativo à conjugação da Diretiva «Privacidade e Comunicações Eletrónicas» com o Regulamento Geral sobre a Proteção de Dados, designadamente no que diz respeito à competência, às atribuições e aos poderes das autoridades de proteção de dados, declarou que o registo e a leitura de dados pessoais através de cookies estão abrangidos pelo âmbito de aplicação da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), e não pelo mecanismo de «balcão único». Em contrapartida, todas as operações anteriores e as atividades posteriores de tratamento destes dados pessoais através de outras tecnologias são efetivamente abrangidas pelo âmbito de aplicação do Regulamento 2016/679 e, por conseguinte, pelo mecanismo de «balcão único». Uma vez que o seu pedido de assistência mútua dizia respeito a essas operações posteriores de tratamento de dados pessoais, a APD solicitou, em abril de 2019, ao Comissário para a Proteção de Dados que desse seguimento ao seu pedido o mais rapidamente possível, pedido esse que ficou sem resposta.

75

Atendendo a todas as considerações precedentes, há que responder à primeira questão submetida que o artigo 55.o, n.o 1, e os artigos 56.o a 58.o, bem como os artigos 60.o a 66.o do Regulamento 2016/679, lidos em conjugação com os artigos 7.o, 8.o e 47.o da Carta, devem ser interpretados no sentido de que uma autoridade de controlo de um Estado‑Membro que, nos termos da legislação nacional adotada em execução do artigo 58.o, n.o 5, deste regulamento, está habilitada a dar conhecimento das violações do referido regulamento às autoridades judiciais desse Estado‑Membro e, se necessário, a intentar uma ação ou de outro modo intervir em processos judiciais pode exercer esse poder em relação ao tratamento de dados transfronteiriço, embora não seja a «autoridade de controlo principal», na aceção do artigo 56.o, n.o 1, do mesmo regulamento, no que se refere a tal tratamento de dados, desde que tal suceda numa das situações em que o Regulamento 2016/679 confere a essa autoridade de controlo competência para adotar uma decisão que constate que o referido tratamento viola as regras nele contidas e que sejam respeitados os procedimentos de cooperação e de controlo da coerência previstos neste regulamento.

76

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que, em caso de tratamento de dados transfronteiriço, o exercício do poder de uma autoridade de controlo de um Estado‑Membro, diferente da autoridade de controlo principal, para intentar uma ação ou de outro modo intervir em processos judiciais, na aceção desta disposição, depende de o responsável pelo tratamento transfronteiriço de dados pessoais contra o qual esta ação é intentada dispor de um «estabelecimento principal», na aceção do artigo 4.o, n.o 16, do Regulamento 2016/679, no território desse Estado‑Membro ou de outro estabelecimento nesse território.

77

A este respeito, importa recordar que, nos termos do artigo 55.o, n.o 1, do Regulamento 2016/679, as autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.

78

O artigo 58.o, n.o 5, do Regulamento 2016/679 prevê, além disso, o poder de cada autoridade de controlo dar conhecimento destas violações deste regulamento às autoridades judiciais do seu Estado‑Membro e, se necessário, intentar uma ação ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.

79

Ora, há que salientar que o artigo 58.o, n.o 5, do Regulamento 2016/679 está formulado em termos gerais e que o legislador da União não subordinou o exercício deste poder por parte de uma autoridade de controlo de um Estado‑Membro à condição de a ação desta última ser intentada contra um responsável pelo tratamento que disponha de um «estabelecimento principal», na aceção do artigo 4.o, n.o 16, deste regulamento, ou de outro estabelecimento no território deste Estado‑Membro.

80

No entanto, uma autoridade de controlo de um Estado‑Membro só pode exercer o poder que o artigo 58.o, n.o 5, do Regulamento 2016/679 lhe confere se se demonstrar que esse poder está abrangido pelo âmbito de aplicação territorial deste regulamento.

81

O artigo 3.o do Regulamento 2016/679, que rege o âmbito de aplicação territorial deste regulamento, prevê, a este respeito, no seu n.o 1, que este regulamento se aplica ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

82

A este título, o considerando 22 do Regulamento 2016/679 precisa que esse estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável e que a forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto.

83

Daqui resulta que, em conformidade com o artigo 3.o, n.o 1, do Regulamento 2016/679, o âmbito de aplicação territorial deste regulamento é determinado, sob reserva das hipóteses referidas nos n.os 2 e 3 deste artigo, pela condição de o responsável pelo tratamento ou o subcontratante para o tratamento transfronteiriço dispor de um estabelecimento no território da União.

84

Por conseguinte, há que responder à segunda questão submetida que o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que, em caso de tratamento de dados transfronteiriço, o exercício do poder de uma autoridade de controlo de um Estado‑Membro, diferente da autoridade de controlo principal, para intentar uma ação judicial, na aceção desta disposição, não exige que o responsável pelo tratamento ou o subcontratante para o tratamento transfronteiriço de dados pessoais contra o qual esta ação é intentada disponha de um estabelecimento principal ou de outro estabelecimento no território desse Estado‑Membro.

85

Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que, em caso de tratamento de dados transfronteiriço, o exercício do poder de uma autoridade de controlo de um Estado‑Membro, diferente da autoridade de controlo principal, de dar conhecimento das violações deste regulamento às autoridades judiciais desse Estado e, se necessário, de intentar uma ação ou de outro modo intervir em processos judiciais, na aceção desta disposição, exige que a autoridade de controlo em causa intente a sua ação judicial contra o estabelecimento principal do responsável pelo tratamento ou contra o estabelecimento que se encontra no seu próprio Estado‑Membro.

86

Resulta da decisão de reenvio que esta questão é suscitada no âmbito de um debate entre as partes por meio do qual se procura saber se o órgão jurisdicional de reenvio é competente para examinar a ação inibitória por esta ter sido intentada contra a Facebook Belgium, atendendo ao facto de que, por um lado, a sede social do grupo Facebook, na União, se situa na Irlanda e a Facebook Ireland é o responsável exclusivo pela recolha e pelo tratamento dos dados pessoais em todo o território da União e a que, por outro lado, ao abrigo de uma repartição interna efetuada por este grupo, o estabelecimento situado na Bélgica foi criado, a título principal, para permitir que o referido grupo mantenha relações com as instituições da União e, a título acessório, para promover atividades de publicidade e marketing do mesmo grupo destinadas às pessoas que residem na Bélgica.

87

Como foi salientado no n.o 47 do presente acórdão, o artigo 55.o, n.o 1, do Regulamento 2016/679 estabelece a competência de princípio de cada autoridade de controlo para prosseguir as atribuições e exercer os poderes que lhe são conferidos, em conformidade com este regulamento, no território do seu próprio Estado‑Membro.

88

No que se refere ao poder de uma autoridade de controlo de um Estado‑Membro para intentar uma ação judicial, na aceção do artigo 58.o, n.o 5, do Regulamento 2016/679, importa recordar, conforme salientou o advogado‑geral no n.o 150 das suas conclusões, que esta disposição está formulada de forma ampla e não especifica as entidades contra as quais as autoridades de controlo devem ou podem agir judicialmente face a uma violação deste regulamento.

89

Por conseguinte, a referida disposição não limita o exercício do poder de intentar uma ação ou de outro modo intervir em processos judiciais no sentido de que tal ação só pode ser intentada contra um «estabelecimento principal» ou contra outro «estabelecimento» do responsável pelo tratamento. Pelo contrário, ao abrigo da mesma disposição, quando a autoridade de controlo de um Estado‑Membro disponha da competência necessária para este efeito, em aplicação dos artigos 55.o e 56.o do Regulamento 2016/679, pode exercer os poderes que lhe são conferidos por este regulamento no seu território nacional, independentemente de qual seja o Estado‑Membro no qual o responsável pelo tratamento ou o seu subcontratante esteja estabelecido.

90

No entanto, o exercício do poder conferido a cada autoridade de controlo pelo artigo 58.o, n.o 5, do Regulamento 2016/679 pressupõe que este regulamento seja aplicável. A este respeito, e como foi sublinhado no n.o 81 do presente acórdão, o artigo 3.o, n.o 1, do referido regulamento prevê que este se aplica ao tratamento de dados pessoais efetuado «no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União».

91

À luz do objetivo prosseguido pelo Regulamento 2016/679, que consiste em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente o seu direito à proteção da vida privada e à proteção dos dados pessoais, a condição segundo a qual o tratamento de dados pessoais deve ser efetuado «no contexto das atividades» do estabelecimento em causa não pode ser objeto de uma interpretação restritiva (v., por analogia, Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.o 56 e jurisprudência referida).

92

No caso em apreço, resulta da decisão de reenvio e das observações escritas apresentadas pela Facebook Belgium que esta é responsável, a título principal, por manter relações com as instituições da União e, a título acessório, por promover as atividades de publicidade e marketing do seu grupo destinadas às pessoas que residem na Bélgica.

93

Através do tratamento de dados pessoais em causa no processo principal, que é efetuado no território da União exclusivamente pela Facebook Ireland e que consiste na recolha de informações sobre o comportamento de navegação tanto dos detentores de uma conta Facebook como dos não utilizadores dos serviços Facebook através de diferentes tecnologias, tais como, nomeadamente, os módulos sociais e os píxeis, procura‑se precisamente que o sistema de publicidade da rede social em causa obtenha um melhor desempenho através da difusão de comunicações de maneira precisa.

94

Ora, há que salientar que, por um lado, uma rede social como o Facebook gera uma parte substancial das suas receitas graças, nomeadamente, à publicidade que nela é difundida e que a atividade exercida pelo estabelecimento situado na Bélgica se destina a assegurar, neste Estado‑Membro, ainda que apenas de forma acessória, a promoção e a venda de espaços publicitários que servem para rentabilizar os serviços Facebook. Por outro lado, a atividade exercida a título principal pela Facebook Belgium, que consiste em manter relações com as instituições da União e em constituir um ponto de contacto com estas últimas, visa nomeadamente estabelecer, por parte da Facebook Ireland, a política de tratamento de dados pessoais.

95

Nestas condições, há que considerar que as atividades do estabelecimento do grupo Facebook situado na Bélgica estão indissociavelmente ligadas ao tratamento dos dados pessoais em causa no processo principal, pelo qual a Facebook Ireland é o responsável no que respeita ao território da União. Por conseguinte, deve entender‑se que tal tratamento é efetuado «no contexto das atividades de um estabelecimento do responsável pelo tratamento», na aceção do artigo 3.o, n.o 1, do Regulamento 2016/679.

96

Atendendo a todas as considerações precedentes, há que responder à terceira questão submetida que o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que o poder de uma autoridade de controlo de um Estado‑Membro, que não seja a autoridade de controlo principal, de dar conhecimento de qualquer violação deste regulamento a uma autoridade judicial deste Estado e, se necessário, de intentar uma ação ou de outro modo intervir em processos judiciais, na aceção desta disposição, pode ser exercido tanto em relação ao estabelecimento principal do responsável pelo tratamento que se encontre no Estado‑Membro a que pertence esta autoridade como em relação a outro estabelecimento deste responsável, desde que a ação judicial diga respeito a um tratamento de dados efetuado no âmbito das atividades deste estabelecimento e que a referida autoridade seja competente para exercer esse poder, em conformidade com o que foi exposto em resposta à primeira questão submetida.

97

Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que, se uma autoridade de controlo de um Estado‑Membro, que não é a «autoridade de controlo principal», na aceção do artigo 56.o, n.o 1, deste regulamento, tiver intentado uma ação judicial relativa a um tratamento transfronteiriço de dados pessoais antes de 25 de maio de 2018, a saber, antes da data na qual o referido regulamento passou a ser aplicável, esta circunstância é suscetível de influenciar as condições nas quais esta autoridade de controlo pode exercer o poder de intentar uma ação ou de outro modo intervir em processos judiciais que lhe é conferido pelo mesmo artigo 58.o, n.o 5.

98

Com efeito, perante esse órgão jurisdicional, a Facebook Ireland, a Facebook Inc. e a Facebook Belgium alegam que, na medida em que o Regulamento 2016/679 só passou a ser aplicável a partir de 25 de maio de 2018, uma ação intentada antes desta data não se pode manter por motivo de inadmissibilidade, ou mesmo de improcedência.

99

Importa salientar, a título preliminar, que, nos termos do artigo 99.o, n.o 1, do Regulamento 2016/679, a entrada deste em vigor ocorre no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia. Tendo este regulamento sido publicado no referido Jornal Oficial em 4 de maio de 2016, entrou assim em vigor em 25 de maio seguinte. Além disso, o artigo 99.o, n.o 2, do referido regulamento prevê que este é aplicável a partir de 25 de maio de 2018.

100

A este respeito, há que recordar que uma regra de direito nova se aplica a partir da entrada em vigor do ato que a instaura e que, embora não se aplique às situações jurídicas constituídas e definitivamente adquiridas sob a vigência da lei anterior, aplica‑se aos efeitos futuros destas situações, bem como às novas situações jurídicas. Só assim não será, sob reserva do princípio da não retroatividade dos atos jurídicos, se a regra nova for acompanhada de disposições particulares que determinem de forma especial as suas condições de aplicação no tempo. Em especial, pressupõe‑se geralmente que as regras processuais são aplicáveis a partir da data em que entram em vigor, ao contrário do que sucede com as regras substantivas que são habitualmente interpretadas no sentido de que só se aplicam a situações adquiridas antes da sua entrada em vigor se resultar claramente dos seus termos, da sua finalidade ou da sua economia que esse efeito lhes deve ser atribuído [Acórdão de 25 de fevereiro de 2021, Caisse pour l’avenir des enfants (Emprego no momento do nascimento), C‑129/20, EU:C:2021:140, n.o 31 e jurisprudência referida].

101

O Regulamento 2016/679 não contém nenhuma regra transitória nem nenhuma outra regra que regule o estatuto dos processos judiciais iniciados antes da sua entrada em vigor e que ainda estivessem em curso na data em que passou a ser aplicável. Em especial, nenhuma disposição deste regulamento prevê que deste resulta o termo de todos os processos judiciais que se encontrassem pendentes em 25 de maio de 2018 e que tivessem por objeto alegadas violações de regras que enquadram o tratamento de dados pessoais previstas na Diretiva 95/46, ainda que os comportamentos constitutivos dessas alegadas violações perdurem para além dessa data.

102

No presente caso, o artigo 58.o, n.o 5, do Regulamento 2016/679 prevê regras que regulam o poder de uma autoridade de controlo de dar conhecimento das violações deste regulamento às autoridades judiciais e, se necessário, de intentar uma ação ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do referido regulamento.

103

Nestas condições, há que proceder a uma distinção entre as ações intentadas por uma autoridade de controlo de um Estado‑Membro a título de infrações às regras de proteção de dados pessoais cometidas por responsáveis pelo tratamento ou por subcontratantes antes da data em que o Regulamento 2016/679 se tornou aplicável e as ações intentadas a título de infrações cometidas depois desta data.

104

No primeiro caso de figura, do ponto de vista do direito da União, uma ação judicial, como a que está em causa no processo principal, pode manter‑se ao abrigo das disposições da Diretiva 95/46, a qual continua a ser aplicável no que respeita às infrações cometidas até à data da sua revogação, a saber, 25 de maio de 2018. No segundo caso de figura, essa ação só pode ser intentada, ao abrigo do artigo 58.o, n.o 5, do Regulamento 2016/679, na condição de, conforme foi assinalado no âmbito da resposta à primeira questão submetida, tal ação decorrer de uma situação na qual, a título de exceção, este regulamento confere a uma autoridade de controlo de um Estado‑Membro que não é a «autoridade de controlo principal» competência para adotar uma decisão que constate que o tratamento de dados em questão viola as regras contidas no referido regulamento relativas à proteção dos direitos das pessoas singulares no que respeita ao tratamento de dados pessoais, desde que sejam respeitados os procedimentos previstos no mesmo regulamento.

105

Atendendo a todas as considerações precedentes, há que responder à quarta questão submetida que o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que, se uma autoridade de controlo de um Estado‑Membro que não é a «autoridade de controlo principal», na aceção do artigo 56.o, n.o 1, deste regulamento, tiver intentado uma ação judicial relativa a um tratamento transfronteiriço de dados pessoais antes de 25 de maio de 2018, a saber, antes da data na qual o referido regulamento passou a ser aplicável, esta ação pode, do ponto de vista da União, manter‑se ao abrigo das disposições da Diretiva 95/46, a qual continua a ser aplicável no que respeita às infrações às regras nela previstas que tenham sido cometidas até à data em que esta diretiva foi revogada. A referida ação pode, além disso, ser intentada por esta autoridade a título de infrações cometidas após esta data, ao abrigo do artigo 58.o, n.o 5, do Regulamento 2016/679, desde que tal suceda ao abrigo de uma das situações nas quais, a título de exceção, este regulamento confere a uma autoridade de controlo de um Estado‑Membro que não é a «autoridade de controlo principal» competência para adotar uma decisão que constate que o tratamento de dados em questão viola as regras contidas no referido regulamento relativas à proteção dos direitos das pessoas singulares no que respeita ao tratamento de dados pessoais e desde que sejam respeitados os procedimentos de cooperação e de controlo da coerência previstos no mesmo regulamento, o que cabe ao órgão jurisdicional de reenvio verificar.

106

Com a sua quinta questão, o órgão jurisdicional de reenvio pergunta, em substância, em caso de resposta afirmativa à primeira questão submetida, se o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que esta disposição tem efeito direto, pelo que uma autoridade de controlo nacional pode invocar a referida disposição para instaurar ou dar continuidade a uma ação judicial contra particulares, ainda que esta disposição não tenha sido especificamente implementada na legislação do Estado‑Membro em causa.

107

O artigo 58.o, n.o 5, do Regulamento 2016/679 prevê que os Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a dar conhecimento das violações deste regulamento às autoridades judiciais e, se necessário, a intentar uma ação ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do referido regulamento.

108

A título preliminar, importa salientar que, como o Governo belga sustenta, o artigo 6.o da Lei de 3 de dezembro de 2017 implementou o artigo 58.o, n.o 5, do Regulamento 2016/679 na ordem jurídica belga. Com efeito, nos termos deste artigo 6.o, que apresenta uma formulação substancialmente idêntica à do artigo 58.o, n.o 5, do Regulamento 2016/679, a APD está habilitada a dar conhecimento das violações dos princípios fundamentais da proteção de dados pessoais, no âmbito da presente lei e das leis que contenham disposições relativas à proteção do tratamento de dados pessoais, das autoridades judiciais e, se necessário, a intentar uma ação ou de outro modo intervir em processos judiciais, a fim de fazer aplicar esses princípios fundamentais. Por conseguinte, há que considerar que a APD se pode basear numa disposição do direito nacional, como o artigo 6.o da Lei de 3 de dezembro de 2017, que implementa o artigo 58.o, n.o 5, do Regulamento 2016/679 no direito belga, para intentar uma ação ou de outro modo intervir em processos judiciais a fim de fazer respeitar este regulamento.

109

Por outro lado, e a título de exaustividade, há que salientar que, nos termos do artigo 288.o, segundo parágrafo, TFUE, um regulamento é obrigatório em todos os seus elementos e é diretamente aplicável em todos os Estados‑Membros, pelo que as suas disposições não necessitam, em princípio, de nenhuma medida de aplicação dos Estados‑Membros.

110

A este respeito, há que recordar que, segundo jurisprudência assente do Tribunal de Justiça, em virtude do artigo 288.o TFUE e devido à própria natureza dos regulamentos e à sua função no sistema das fontes do direito da União, as disposições dos regulamentos produzem, em geral, efeito imediato nas ordens jurídicas nacionais, não sendo necessário que as autoridades nacionais tomem medidas de aplicação. No entanto, pode ser necessário, para a implementação de algumas destas disposições, que os Estados‑Membros adotem medidas de aplicação (Acórdão de 15 de março de 2017, Al Chodor, C‑528/15, EU:C:2017:213, n.o 27 e jurisprudência referida).

111

Ora, como salientou o advogado‑geral, em substância, no n.o 167 das suas conclusões, o artigo 58.o, n.o 5, do Regulamento 2016/679 prevê uma regra específica e diretamente aplicável por força da qual as autoridades de controlo devem ter legitimidade processual perante os órgãos jurisdicionais nacionais e estar habilitadas a intentar uma ação ou de outro modo intervir em processos judiciais nos termos do direito nacional.

112

Não resulta do artigo 58.o, n.o 5, do Regulamento 2016/679 que os Estados‑Membros devem prever, através de uma disposição expressa, quais são as circunstâncias em que as autoridades de controlo nacionais podem intentar uma ação ou de outro modo intervir em processos judiciais, na aceção desta disposição. É suficiente que a autoridade de controlo tenha possibilidade, em conformidade com a legislação nacional, de dar conhecimento às autoridades judiciais das infrações a este regulamento e, se necessário, intentar uma ação ou de outro modo intervir em processos judiciais, ou de outra forma, dar início a um processo destinado a fazer aplicar as disposições do referido regulamento.

113

Atendendo a todas as considerações precedentes, há que responder à quinta questão submetida que o artigo 58.o, n.o 5, do Regulamento 2016/679 deve ser interpretado no sentido de que esta disposição tem efeito direto, pelo que uma autoridade de controlo nacional pode invocar a referida disposição para intentar ou dar continuidade a uma ação judicial contra particulares, ainda que esta disposição não tenha sido especificamente implementada na legislação do Estado‑Membro em causa.

114

Com a sua sexta questão, o órgão jurisdicional de reenvio pergunta, em substância, em caso de resposta afirmativa à primeira a quinta questões submetidas, se o resultado de um processo judicial instaurado por uma autoridade de controlo de um Estado‑Membro relativo a um tratamento transfronteiriço de dados pessoais pode obstar a que a autoridade de controlo principal adote uma decisão na qual chega a uma constatação em sentido contrário no caso de esta investigar as mesmas atividades de tratamento transfronteiriço ou atividades semelhantes, em conformidade com o mecanismo previsto nos artigos 56.o e 60.o do Regulamento 2016/679.

115

A este respeito, há que recordar que, segundo jurisprudência constante, as questões relativas ao direito da União gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial apresentada por um órgão jurisdicional nacional se for manifesto que a interpretação de uma regra da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (Acórdãos de 16 de junho de 2015, Gauweiler e o., C‑62/14, EU:C:2015:400, n.o 25; e de 7 de fevereiro de 2018, American Express, C‑304/16, EU:C:2018:66, n.o 32).

116

Por outro lado, em conformidade com jurisprudência igualmente constante, a justificação do reenvio prejudicial não é emitir opiniões consultivas sobre questões gerais ou hipotéticas, mas a necessidade inerente à efetiva solução de um litígio (Acórdão de 10 de dezembro de 2018, Wightman e o., C‑621/18, EU:C:2018:999, n.o 28 e jurisprudência referida).

117

No presente caso, importa sublinhar que, como o Governo belga observa, a sexta questão submetida assenta em circunstâncias em relação às quais não foi de modo nenhum demonstrado que se verificam no quadro do litígio no processo principal, a saber, que, em relação ao tratamento transfronteiriço objeto deste litígio, há uma autoridade de controlo principal que não só investiga as mesmas atividades de tratamento transfronteiriço de dados pessoais que são objeto do processo judicial instaurado pela autoridade de controlo do Estado‑Membro em causa ou atividades semelhantes como também pondera adotar uma decisão que chegará a uma constatação que irá em sentido contrário.

118

Nestas condições, há que salientar que a sexta questão submetida não tem nenhuma relação com a realidade nem com o objeto do litígio no processo principal e diz respeito a um problema hipotético. Por conseguinte, esta questão deve ser julgada inadmissível.

119

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara: