1.

O presente pedido de decisão prejudicial foi apresentado pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha) no âmbito de um litígio que opõe sociedades do grupo Meta Platforms ( 2 ) ao Bundeskartellamt (Autoridade Federal da Concorrência, Alemanha), a respeito da decisão pela qual este último proibiu à recorrente no processo principal o tratamento dos dados previsto pelas condições de serviço da sua rede social Facebook, bem como a execução dessas condições de serviço, e impôs medidas destinadas à cessação dessas atividades ( 3 ).

2.

As questões prejudiciais dizem respeito, em substância, por um lado, à competência de uma autoridade nacional da concorrência, como o Bundeskartellamt, para examinar, a título principal ou incidental, comportamentos de uma empresa à luz de certas disposições do Regulamento (UE) 2016/679 ( 4 ) e, por outro, à interpretação dessas disposições no que se refere, nomeadamente, ao tratamento de dados pessoais sensíveis, às condições pertinentes de licitude do tratamento de dados pessoais e à manifestação de um consentimento livre relativamente a uma empresa em posição dominante.

3.

O artigo 4.o do RGPD prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]»

4.

O artigo 6.o, n.o 1, deste regulamento, sob a epígrafe «Licitude do tratamento», tem a seguinte redação:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

5.

O artigo 9.o, n.os 1 e 2, do referido regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», dispõe:

«1.   É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2.   O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

[…]

[…]»

6.

O artigo 51.o do mesmo regulamento, sob a epígrafe «Autoridade de controlo», que faz parte do seu capítulo VI, intitulado «Autoridades de controlo independentes», enuncia:

«1.   Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”).

2.   As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.

[…]»

7.

O § 19, n.o 1, da Gesetz gegen Wettbewerbsbeschränkungen (Lei sobre Restrições à Concorrência, a seguir «GWB») dispõe:

«É proibida a exploração abusiva de uma posição dominante por uma ou mais empresas.» ( 5 )

8.

O § 50f do GWB prevê:

«(1)   As autoridades da concorrência, as autoridades reguladoras, o responsável federal pela proteção de dados e a liberdade de informação, os responsáveis regionais pela proteção de dados e as autoridades competentes na aceção do artigo 2.o da EU‑Verbraucherschutzdurchführungsgesetz [Lei de Execução do Direito de Defesa dos Consumidores da União Europeia] podem, independentemente do procedimento escolhido, trocar entre si informações, incluindo dados pessoais e segredos comerciais e empresariais, na medida em que tal seja necessário para o cumprimento das respetivas funções, bem como utilizar essas informações no âmbito dos seus procedimentos. […]»

9.

A Meta Platforms gere a oferta da rede social em linha «Facebook» na União Europeia (no endereço www.facebook.com), bem como outros serviços em linha, entre os quais o Instagram e o WhatsApp. O modelo económico das redes sociais geridas pela Meta Platforms consiste essencialmente, por um lado, em oferecer serviços de rede social gratuitos para os utilizadores privados e, por outro, em vender publicidade em linha, feita por medida para os utilizadores individuais da rede social e que visa mostrar ao utilizador os produtos e serviços que o possam interessar atendendo, nomeadamente, aos seus comportamentos pessoais de consumo, aos seus interesses, ao seu poder de compra e à sua situação pessoal. O fundamento técnico deste tipo de publicidade é a definição automatizada de perfis muito pormenorizados dos utilizadores da rede e dos serviços em linha propostos ao nível do grupo ( 6 ).

10.

Para a recolha e o tratamento dos dados dos utilizadores, a Meta Platforms baseia‑se no contrato de utilização celebrado com os seus utilizadores através da ativação do botão «registo», pela qual esses utilizadores aceitam assim as condições de serviço do Facebook. A aceitação dessas condições de serviço é um requisito essencial para a utilização da rede social Facebook ( 7 ). O elemento central do presente processo diz respeito à prática que consiste, primeiro, na recolha de dados provenientes de outros serviços próprios do grupo, bem como de sítios Internet e de aplicações de terceiros, através de interfaces integradas nestes últimos ou através de cookies instalados no computador ou no terminal móvel do utilizador, segundo, no cruzamento desses dados com a conta Facebook do utilizador em causa e, terceiro, na utilização dos referidos dados (a seguir «prática controvertida»).

11.

O Bundeskartellamt instaurou um procedimento contra a Meta Platforms na sequência do qual, através da decisão controvertida, lhe proibiu o tratamento dos dados previsto pelas condições de serviço do Facebook, bem como a aplicação dessas condições, e lhe impôs medidas destinadas à cessação dessas atividades. O Bundeskartellamt fundamentou a sua decisão, nomeadamente, pelo facto de o tratamento em questão constituir uma exploração abusiva da posição dominante dessa sociedade no mercado das redes sociais para os utilizadores privados na Alemanha, na aceção do § 19 da GWB ( 8 ).

12.

Em 11 de fevereiro de 2019, a Meta Platforms interpôs recurso da decisão controvertida no Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldórfia) ( 9 ), o órgão jurisdicional de reenvio, que, em substância, tem dúvidas, por um lado, quanto à possibilidade de as autoridades nacionais da concorrência controlarem a conformidade de um tratamento de dados com os requisitos estabelecidos no RGPD, bem como de declarar e punir a violação das disposições deste regulamento, e, por outro, quanto à interpretação e aplicação de certas disposições deste regulamento.

13.

Foi nestas condições que o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldórfia) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

Em caso de resposta afirmativa à questão prejudicial 7, é necessária a resposta às questões prejudiciais 3 a 5 no que diz respeito aos dados de utilização do serviço Instagram do mesmo grupo.»

14.

Foram apresentadas observações escritas pela Meta Platforms, pelos Governos alemão, checo, italiano e austríaco, pelo Bundeskartellamt, pela Verbraucherzentrale Bundesverband e.V (Associação de Defesa dos Consumidores, Alemanha), bem como pela Comissão Europeia. Estas partes apresentaram igualmente observações orais na audiência realizada em 10 de maio de 2022.

15.

As questões prejudiciais objeto do presente processo, relativas à interpretação de várias disposições do RGPD, dizem respeito, em substância, primeiro, à competência de uma autoridade da concorrência para declarar e punir uma violação das regras em matéria de tratamento de dados pessoais e às suas obrigações de cooperação com a autoridade principal na aceção do RGPD (primeira e sétima questões prejudiciais), segundo, à proibição do tratamento de dados pessoais sensíveis e às condições aplicáveis ao consentimento para a sua utilização (segunda questão prejudicial), terceiro, à licitude do tratamento de dados pessoais à luz de certas justificações (terceira a quinta questões prejudiciais) e, quarto, à validade de um consentimento para o tratamento de dados pessoais concedido a uma empresa em posição dominante (sexta questão prejudicial).

16.

Nos números seguintes, começarei por abordar a primeira e sétima questões prejudiciais e, em seguida, as outras questões prejudiciais, pela ordem em que foram colocadas, juntando a terceira a quinta questões prejudiciais.

17.

Com a primeira questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se uma autoridade da concorrência, quando examina infrações às regras da concorrência, pode, por um lado, pronunciar‑se, a título principal ( 10 ), sobre a violação das regras relativas ao tratamento de dados do RGPD por uma empresa cujo estabelecimento principal responsável a título exclusivo pelo tratamento dos dados pessoais em toda a União se encontra noutro Estado‑Membro e, por outro, ordenar a cessação dessa infração [primeira questão, alínea a)] e, em caso afirmativo, se a autoridade de controlo principal competente por força do artigo 56.o, n.o 1, do RGPD pode ainda sujeitar as condições de tratamento dos dados dessa empresa a um procedimento de investigação [primeira questão, alínea b)].

18.

No entanto, sob reserva de verificação pelo órgão jurisdicional de reenvio, parece‑me que, na decisão controvertida, o Bundeskartellamt não puniu uma violação do RGPD pela Meta Platforms, mas procedeu, unicamente para efeitos da aplicação das regras de concorrência, à análise de uma alegada violação da proibição de abuso de posição dominante por esta, tendo em conta, nomeadamente, a não conformidade do comportamento dessa empresa com as disposições do RGPD.

19.

Por conseguinte, a meu ver, na medida em que diz respeito à possibilidade de uma autoridade da concorrência se pronunciar, a título principal, sobre a violação das normas do RGPD e de ordenar a cessação dessa infração na aceção deste regulamento, a primeira questão, alínea a), é inoperante ( 11 ).

20.

Daqui resulta que a primeira questão, alínea b), que está subordinada à resposta afirmativa à primeira questão, alínea a), é igualmente inoperante ( 12 ).

21.

Com a sétima questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se uma autoridade da concorrência pode, quando examina infrações às regras de concorrência, averiguar, a título incidental ( 13 ), se as condições de tratamento dos dados e a sua execução estão em conformidade com o RGPD [sétima questão, alínea a)] e, em caso afirmativo, se uma investigação pela autoridade da concorrência é igualmente possível quando essas condições são submetidas, simultaneamente, a um procedimento de investigação pela autoridade de controlo principal competente [sétima questão, alínea b)].

22.

No que respeita, em primeiro lugar, à sétima questão, alínea a), parece‑me que, embora uma autoridade da concorrência não seja competente para declarar uma violação do RGPD ( 14 ), este último não se opõe, em princípio, a que, no exercício das suas próprias competências e poderes, outras autoridades diferentes das autoridades de controlo possam ter em conta, a título incidental, a compatibilidade de um comportamento com as disposições do RGPD. Na minha opinião, é esse o caso, nomeadamente, no que se refere ao exercício por uma autoridade da concorrência dos poderes que lhe são conferidos pelo artigo 102.o TFUE e pelo artigo 5.o, primeiro parágrafo, do Regulamento (CE) n.o 1/2003 ( 15 ) ou por qualquer outra norma nacional correspondente ( 16 ).

23.

Com efeito, aquando do exercício das suas competências, uma autoridade da concorrência deve apreciar, nomeadamente, se o comportamento analisado consiste em recorrer a meios diferentes daqueles que decorrem de uma concorrência pelo mérito, tendo em conta o contexto jurídico e económico em que se insere esse comportamento ( 17 ). A este respeito, a conformidade ou não conformidade do referido comportamento com as disposições do RGPD, não por si só, mas atendendo a todas as circunstâncias do caso concreto, pode constituir um indício importante para determinar se esse comportamento consubstancia um recurso a meios que regulam uma competição normal, precisando‑se ao mesmo tempo que o caráter abusivo ou não abusivo de um comportamento à luz do artigo 102.o TFUE não decorre da sua conformidade ou não conformidade com o RGPD ou com outras normas jurídicas ( 18 ).

24.

Por conseguinte, considero que o exame de um abuso de uma posição dominante no mercado pode justificar que uma autoridade da concorrência interprete normas não abrangidas pelo direito da concorrência, como as do RGPD ( 19 ), especificando que esse exame é efetuado a título incidental ( 20 ) e não prejudica a aplicação deste regulamento por autoridades de controlo competentes ( 21 ).

25.

No que respeita, em segundo lugar, à sétima questão, alínea b), o órgão jurisdicional de reenvio suscita a questão de saber quais são, no âmbito da aplicação do princípio da cooperação leal consagrado no artigo 4.o, n.o 3, TUE, as obrigações que uma autoridade da concorrência tem, em relação à autoridade de controlo principal competente na aceção do RGPD, quando interpreta disposições deste regulamento e, mais precisamente, quando o mesmo comportamento que aquele que é examinado pela autoridade da concorrência é objeto de investigação por parte da autoridade de controlo principal competente.

26.

No caso em apreço, a investigação, ainda que incidental, de um comportamento de uma empresa à luz das normas do RGPD por uma autoridade da concorrência implica o risco de divergências entre esta e as autoridades de controlo quanto à interpretação deste regulamento, o que, em princípio, é suscetível de prejudicar a interpretação uniforme do RGPD ( 22 ).

27.

O direito da União não prevê regras pormenorizadas quanto à cooperação entre uma autoridade da concorrência e as autoridades de controlo na aceção do RGPD em tal situação. Mais especificamente, nem o mecanismo de cooperação entre as autoridades competentes na aceção do RGPD aquando da aplicação deste ( 23 ) nem outras regras precisas sobre a cooperação entre autoridades administrativas, como as relativas à cooperação entre as autoridades da concorrência e à cooperação entre estas e a Comissão quando da aplicação das regras da concorrência ( 24 ) são aplicáveis no caso em apreço.

28.

Dito isto, quando interpreta o RGPD, uma autoridade da concorrência está, não obstante, vinculada pelo princípio da cooperação leal consagrado no artigo 4.o, n.o 3, TUE, por força do qual a União e os Estados‑Membros, incluindo as suas autoridades administrativas ( 25 ), se respeitam e assistem mutuamente no cumprimento das missões decorrentes dos Tratados. Em especial, o terceiro parágrafo desta disposição prevê que os Estados‑Membros facilitam à União o cumprimento da sua missão e abstêm‑se de qualquer medida suscetível de pôr em perigo a realização dos objetivos da União ( 26 ). Além disso, tal como qualquer autoridade administrativa responsável pela aplicação do direito da União, uma autoridade da concorrência está vinculada pelo princípio da boa administração enquanto princípio geral do direito da União, que inclui nomeadamente uma obrigação alargada de diligência e solicitude a cargo das autoridades nacionais ( 27 ).

29.

Assim, na falta de regras precisas quanto aos mecanismos de cooperação, que incumbe eventualmente ao legislador da União adotar, uma autoridade da concorrência, quando interpreta disposições do RGPD, está sujeita, pelo menos, a obrigações de informação e de cooperação em relação às autoridades competentes na aceção deste regulamento, em aplicação das normas nacionais que regulam as suas competências (princípio da autonomia processual dos Estados‑Membros) e no respeito pelos princípios da equivalência e da efetividade ( 28 ).

30.

Na minha opinião, daqui resulta que, quando a autoridade de controlo principal competente se pronunciou sobre a aplicação de certas disposições do RGPD a respeito de uma prática idêntica ou semelhante, a autoridade da concorrência não poderá, em princípio, afastar‑se da interpretação dessa autoridade, que é a única competente para a aplicação deste regulamento ( 29 ), e deverá, na medida do possível e no respeito, nomeadamente, dos direitos de defesa das pessoas envolvidas, atuar em conformidade com as eventuais decisões adotadas por ela relativas ao mesmo comportamento ( 30 ) e, em caso de dúvidas no presente processo sobre interpretação dada pela autoridade competente, consultá‑la ou, se for caso disso, quando esta se encontre noutro Estado‑Membro, consultar a autoridade de controlo nacional ( 31 ).

31.

Além disso, na falta de uma decisão da autoridade de controlo competente, cabe, no entanto, à autoridade da concorrência informá‑la ( 32 ) e cooperar com ela quando essa autoridade tenha iniciado a investigação da mesma prática ou manifestado a intenção de o fazer e, eventualmente, aguardar pelo resultado da investigação efetuada por esta última antes de iniciar a sua própria apreciação, na medida em que tal seja adequado e não prejudique, designadamente, o respeito, pela autoridade da concorrência, de um prazo de inquérito razoável e dos direitos de defesa das pessoas envolvidas ( 33 ).

32.

No caso em apreço, parece‑me que o facto de ter encetado uma cooperação com as autoridades de controlo responsáveis a nível nacional ( 34 ) e de ter igualmente contactado, informalmente, a autoridade de controlo principal irlandesa, circunstâncias evocadas pelo Bundeskartellamt e que compete ao órgão jurisdicional de reenvio verificar, pode ser suficiente para se concluir que essa autoridade cumpriu os seus deveres de diligência e de cooperação leal ( 35 ).

33.

Em conclusão, proponho que se responda à sétima questão prejudicial, que os artigos 51.o a 66.o do RGPD devem ser interpretados no sentido de que uma autoridade da concorrência, no âmbito dos seus poderes na aceção das regras em matéria de concorrência, pode analisar, a título incidental, a conformidade das práticas analisadas com as normas do RGPD, tendo simultaneamente em conta qualquer decisão ou investigação da autoridade de controlo competente ao abrigo do RGPD, bem como informando e, sendo caso disso, consultando a autoridade de controlo nacional.

34.

Com a segunda questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que a prática controvertida, quando diz respeito à consulta de páginas Internet e de aplicações de terceiros ( 36 ), está abrangida pelo tratamento de dados pessoais sensíveis enumerados ( 37 ), que é proibido ( 38 ), [segunda questão, alínea a)], e, em caso afirmativo, se o artigo 9.o, n.o 2, alínea e), deste regulamento deve ser interpretado no sentido de que um utilizador torna manifestamente públicos na aceção desta disposição os dados que são, por um lado, revelados consultando páginas Internet e aplicações ou, por outro, inseridos pela ou resultantes da ativação de botões de seleção integrados nessas páginas Internet ou aplicações ( 39 ) [segunda questão, alínea b)].

35.

No que diz respeito, em primeiro lugar, à segunda questão, alínea a), recordo que, por força do artigo 9.o, n.o 1, do RGPD, é proibido o tratamento de dados pessoais sensíveis. A proteção especial desses dados é motivada, como resulta do considerando 51 deste regulamento, pelo facto de serem, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais e de o seu tratamento poder implicar riscos significativos para esses direitos e liberdades. Além disso, apesar do caráter algo obscuro da redação desta disposição ( 40 ), não me parece, como pressupõe o órgão jurisdicional de reenvio, que introduza uma diferença substancial entre dados pessoais que são sensíveis porque «revelam» uma certa situação e dados que são sensíveis por si só ( 41 ).

36.

No caso em apreço, na minha opinião, é evidente que a prática controvertida constitui um tratamento de dados pessoais que é, em princípio, suscetível de ser abrangido pelo âmbito de aplicação desta disposição e de ser proibido quando os dados tratados «revelem» uma das situações sensíveis enumeradas pela mesma. Deste modo, há que determinar se e em que medida a consulta de sítios Internet e de aplicações ou a inserção de dados nestes podem ser «reveladoras» de uma das situações sensíveis visadas pela disposição em questão.

37.

A este respeito, duvido que seja pertinente (e sempre possível) distinguir entre, por um lado, o simples interesse do titular dos dados por determinadas informações e, por outro, o facto de o mesmo pertencer a uma das categorias visadas pela referida disposição ( 42 ). Ainda que as posições das partes no processo principal se oponham a este respeito ( 43 ), considero que uma resposta a esta questão só pode ser alcançada caso a caso e à luz de cada uma das atividades que compõem a prática controvertida.

38.

Embora, como salienta o Governo alemão, a simples recolha de dados pessoais sensíveis relativos à consulta de um sítio Internet ou de uma aplicação não seja, por si só, necessariamente um tratamento de dados pessoais sensíveis na aceção desta disposição ( 44 ), o cruzamento desses dados com a conta Facebook do utilizador em causa ou a sua utilização são comportamentos que, em contrapartida, poderiam ser mais facilmente suscetíveis de constituir tal tratamento. O elemento decisivo para efeitos da aplicação do artigo 9.o, n.o 1, do RGPD é, na minha opinião, a possibilidade de os dados tratados permitirem a definição do perfil do utilizador segundo as categorias que resultam da enumeração dos dados pessoais sensíveis efetuada por esta disposição ( 45 ).

39.

Neste contexto, para poder determinar se um tratamento de dados está abrangido pelo âmbito de aplicação desta disposição, poderia ser útil distinguir, se for caso disso, por um lado, o tratamento dos dados que podem ser prima facie classificados na categoria dos dados pessoais sensíveis e que permitem, por si só, uma definição do perfil do titular dos dados e, por outro, o tratamento dos dados que não são, por si só, sensíveis, mas que exigem uma atividade posterior de agrupamento para tirar conclusões plausíveis para a definição do perfil do titular dos dados.

40.

Dito isto, há que precisar que a existência de uma classificação na aceção desta disposição é independente da questão de saber se essa categorização é verdadeira ou está correta ( 46 ). O que conta é a possibilidade de essa categorização implicar riscos significativos para os direitos e liberdades fundamentais do titular dos dados, como recordado no considerando 51 do RGPD, possibilidade que é independente da sua veracidade.

41.

Por último, no que respeita ao pedido do órgão jurisdicional de reenvio destinado a saber se o objetivo da utilização é pertinente para efeitos da apreciação em questão ( 47 ), considero, contrariamente ao que sustenta a recorrente no processo principal, que, em princípio, não se exige que o responsável pelo tratamento trate esses dados «tendo consciência e a intenção de retirar diretamente dos mesmos categorias específicas de informação». Com efeito, o objetivo da disposição em causa é, em substância, prevenir, de forma objetiva, riscos significativos para as liberdades e os direitos fundamentais dos titulares dos dados, causados pelo tratamento de dados pessoais sensíveis, independentemente de qualquer elemento subjetivo como a intenção do responsável pelo tratamento.

42.

No que se refere, em segundo lugar, à segunda questão, alínea b), recordo que, por força do artigo 9.o, n.o 2, alínea e), do RGPD, a proibição do tratamento de dados pessoais sensíveis não se aplica se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular. Além disso, a referência, na redação dessa disposição, ao advérbio «manifestamente» e o facto de a referida disposição constituir uma exceção ao princípio da proibição do tratamento de dados pessoais sensíveis ( 48 ) impõem uma aplicação especialmente estrita desta exceção, devido aos riscos significativos para os direitos e liberdades fundamentais dos titulares dos dados ( 49 ). Para que esta exceção possa ser aplicável, o utilizador deve ter, na minha opinião, plena consciência de que, através de um ato explícito ( 50 ), torna públicos os dados pessoais ( 51 ).

43.

No caso em apreço, parece‑me que um comportamento que consiste na consulta de sítios Internet e de aplicações, na inserção de dados nesses sítios e nessas aplicações e na ativação de botões de seleção integrados nos mesmos não pode, em princípio, ser equiparado a um comportamento que torna manifestamente públicos os dados pessoais sensíveis do utilizador na aceção do artigo 9.o, n.o 2, alínea e), do RGPD.

44.

Mais especificamente, saliento que, em princípio, a consulta de sítios Internet e de aplicações torna os dados de consulta acessíveis apenas ao gestor da página Internet ou da aplicação em questão e aos terceiros a quem este transmite essas informações, como a recorrente no processo principal ( 52 ). Do mesmo modo, embora, através da inserção de dados em sítios Internet e aplicações, o titular dos dados possa dar, de forma direta e voluntária, informações sobre certos dados pessoais sensíveis, sublinho também que essas informações só estão acessíveis ao gestor do sítio Internet ou da aplicação em questão e aos terceiros a quem este transmite as referidas informações. Por conseguinte, excluo que esses comportamentos possam demonstrar a vontade de tornar esses dados disponíveis à comunidade ( 53 ). Além disso, embora seja evidente que, através da ativação de botões de seleção integrados em sítios Internet ou aplicações ( 54 ), o titular dos dados exprime claramente a vontade de partilhar certas informações com um público externo no sítio Internet ou na aplicação em questão, considero que, como sublinha o Bundeskartellamt, através desse comportamento, o titular dos dados tem consciência de partilhar informações com um círculo determinado de pessoas, frequentemente definido pelo próprio utilizador ( 55 ), e não com a comunidade ( 56 ).

45.

Por último, no que se refere à pertinência de um eventual consentimento dado pelo utilizador na aceção do artigo 5.o, n.o 3, da Diretiva 2002/58, para que dados pessoais possam ser recolhidos através de testemunhos de conexão (cookies) ou de tecnologias semelhantes, invocado pelo órgão jurisdicional de reenvio, considero que esse consentimento, à luz do seu objetivo específico, não pode, por si só, justificar o tratamento de dados pessoais sensíveis recolhidos por esses meios ( 57 ). Com efeito, o referido consentimento, necessário para a instalação de um meio técnico de captação de certas atividades do utilizador ( 58 ), não diz respeito ao tratamento de dados pessoais sensíveis e não pode ser equiparado à vontade de tornar manifestamente públicos esses dados na aceção do artigo 9.o, n.o 2, alínea e), do RGPD ( 59 ).

46.

Em conclusão, proponho que se responda à segunda questão prejudicial que, por um lado, o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que a proibição de tratamento de dados pessoais sensíveis pode incluir o tratamento de dados efetuado por um operador de uma rede social em linha que consiste na recolha de dados de um utilizador quando este consulta outros sítios Internet ou aplicações ou aí insere esses dados, o cruzamento dos referidos dados com a conta do utilizador da rede social e a sua utilização, desde que as informações tratadas, consideradas individualmente ou agrupadas, permitam definir o perfil do utilizador segundo as categorias que resultam da enumeração dos dados pessoais sensíveis efetuada nesta disposição, e, por outro, o artigo 9.o, n.o 2, alínea e), do RGPD deve ser interpretado no sentido de que um utilizador não torna manifestamente públicos dados pelo facto de estes terem sido revelados através da consulta de páginas Internet e de aplicações ou de terem sido inseridos nessas páginas ou aplicações ou de resultarem da ativação de botões de seleção integrados nas mesmas.

47.

Com as questões prejudiciais terceira a quinta, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, alíneas b), c), d), e) e f), do RGPD deve ser interpretado no sentido de que a prática controvertida ( 60 ) é abrangida pelo âmbito de aplicação de uma das justificações previstas nestas disposições, mais especificamente:

48.

A título preliminar, não obstante algumas interrogações quanto à admissibilidade da quarta e quinta questões prejudiciais ( 68 ), proponho que se responda de forma conjunta à terceira a quinta questões prejudiciais, na medida em que as indicações que apresentarei em seguida, principalmente no que respeita à terceira questão prejudicial, poderão ser igualmente úteis para o órgão jurisdicional de reenvio aquando da aplicação das disposições que são objeto da quarta e quinta questões prejudiciais.

49.

A título principal, saliento que, em conformidade com o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), os dados pessoais devem ser objeto de um tratamento leal, para fins específicos e com base num fundamento legítimo previsto por lei. A este respeito, o artigo 6.o, n.o 1, do RGPD especifica que o tratamento desses dados só é lícito com base numa das seis condições estabelecidas nesta disposição ( 69 ).

50.

No caso em apreço, antes de mais, considero que a terceira a quinta questões prejudiciais exigem uma análise pormenorizada, caso a caso, das diferentes cláusulas das condições de serviço Facebook no contexto da prática controvertida, uma vez que não é possível determinar se, relativamente a essa prática, «uma empresa como [a Meta Platforms]» pode invocar, na sua globalidade, todas as (ou algumas das) justificações contidas no artigo 6.o, n.o 1, do RGPD, mesmo que não se possa excluir que a referida prática ou algumas das suas atividades possam, em certas situações, entrar no âmbito de aplicação deste artigo ( 70 ).

51.

Em seguida, o tratamento previsto pelas referidas disposições é efetuado, no caso em apreço, com fundamento nas condições gerais do contrato impostas pelo responsável pelo tratamento, sem o consentimento do titular dos dados ( 71 ), ou mesmo contra a sua vontade, o que, na minha opinião, exige uma interpretação estrita das justificações em questão, nomeadamente para evitar que o requisito do consentimento seja contornado ( 72 ).

52.

Por último, recordo que, em conformidade com o artigo 5.o, n.o 2, do RGPD, incumbe ao responsável pelo tratamento o ónus da prova de que os dados pessoais são tratados de acordo com a norma deste regulamento e que, em conformidade com o artigo 13.o, n.o 1, alínea c), do referido regulamento, incumbe ao responsável pelo tratamento dos dados pessoais especificar as finalidades do tratamento a que os dados se destinam, bem como o fundamento jurídico para o tratamento.

53.

Em primeiro lugar, segundo o artigo 6.o, n.o 1, alínea b), do RGPD, o tratamento de dados pessoais é lícito na medida em que seja necessário para a execução de um contrato no qual o titular dos dados é parte ( 73 ).

54.

A este respeito, recordo que o conceito de «necessidade» não está definido na legislação da União, mas constitui, no entanto, segundo a jurisprudência, um conceito autónomo do direito da União ( 74 ). Para que o tratamento seja necessário para a execução do contrato, não basta que seja efetuado por ocasião da execução do contrato nem que seja mencionado no contrato ( 75 ) ou até que seja simplesmente útil para a execução do contrato ( 76 ). Segundo a jurisprudência do Tribunal de Justiça, o tratamento deve ser objetivamente necessário para a execução do contrato na medida em que não devem existir outras soluções realistas e menos intrusivas ( 77 ), tendo igualmente em conta as expectativas razoáveis do titular dos dados ( 78 ). Tal implica igualmente o facto de que, quando o contrato consista em vários serviços ou elementos distintos de um mesmo serviço que podem ser executados independentemente uns dos outros, a aplicabilidade do artigo 6.o, n.o 1, alínea b), do RGPD deve ser avaliada no contexto de cada um desses serviços separadamente ( 79 ).

55.

No âmbito desta justificação, o órgão jurisdicional de reenvio menciona a personalização dos conteúdos e a utilização contínua e ininterrupta dos produtos (ou sobretudo dos serviços) próprios do grupo.

56.

No que se refere à personalização dos conteúdos, parece‑me que, se essa atividade pode, em certa medida, ser prestada no interesse do utilizador uma vez que permite apresentar, nomeadamente no «feed de notícias», conteúdos que, em conformidade com uma avaliação automatizada, correspondem aos interesses do utilizador, não é evidente que seja igualmente necessária para a prestação do serviço, pelo que o tratamento dos dados pessoais para essa finalidade não exige o consentimento do utilizador ( 80 ). Para efeitos desta análise, há igualmente que ter em conta que a prática controvertida visa o tratamento não de dados relativos ao comportamento do utilizador dentro da página ou da aplicação Facebook mas de dados provenientes de fontes externas e, deste modo, potencialmente ilimitadas. Por conseguinte, pergunto‑me em que medida esse tratamento poderia corresponder às expectativas de um utilizador médio e, mais genericamente, qual é o «grau de personalização» que este pode esperar do serviço em que se regista ( 81 ).

57.

No que respeita à utilização contínua e ininterrupta dos serviços próprios do grupo, observo que um nexo entre os diferentes serviços oferecidos pela recorrente no processo principal, por exemplo entre o Facebook e o Instagram, pode, é certo, ser útil ao utilizador ou até, por vezes, pretendido por este último. Contudo, duvido que um tratamento dos dados pessoais provenientes de outros serviços do grupo (nomeadamente do Instagram) seja necessário para a prestação dos serviços Facebook ( 82 ).

58.

Em segundo lugar, nos termos do artigo 6.o, n.o 1, alínea f), do RGPD, o tratamento de dados pessoais só é lícito se e na medida em que for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

59.

Em conformidade com a jurisprudência do Tribunal de Justiça, a disposição em causa prevê três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber, primeiro, a prossecução de um interesse legítimo pelo responsável pelo tratamento ou pelo terceiro ou terceiros a quem os dados sejam comunicados, segundo, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e, terceiro, o requisito de os direitos e as liberdades fundamentais da pessoa a que a proteção de dados diz respeito não prevalecerem ( 83 ).

60.

Antes de mais, no que respeita à prossecução de um interesse legítimo, recordo que o RGPD e a jurisprudência reconhecem um amplo leque de interesses considerados legítimos ( 84 ), precisando que, em conformidade com o artigo 13.o, n.o 1, alínea d), do RGPD, cabe ao responsável pelo tratamento indicar os interesses legítimos prosseguidos no âmbito do artigo 6.o, n.o 1, alínea f), do RGPD ( 85 ).

61.

Em seguida, no que se refere ao requisito relativo à necessidade do tratamento dos dados pessoais para a prossecução de interesses legítimos, segundo a jurisprudência do Tribunal de Justiça, as derrogações e as restrições ao princípio da proteção dos dados pessoais devem ocorrer na estrita medida do necessário ( 86 ). Por conseguinte, é necessária uma relação estreita entre o tratamento e o interesse prosseguido, na falta de alternativas mais respeitosas da proteção de dados pessoais, uma vez que não é suficiente que o tratamento revele uma simples utilidade para o responsável pelo tratamento.

62.

Por último, no que se refere à ponderação, por um lado, dos interesses do responsável pelo tratamento e, por outro, dos interesses ou das liberdades ou dos direitos fundamentais do titular dos dados, segundo a jurisprudência do Tribunal de Justiça, cabe ao órgão jurisdicional de reenvio ponderar os interesses envolvidos ( 87 ). Além disso, como enunciado no considerando 47 do RGPD, no âmbito desta ponderação, é indispensável ter em conta as expectativas razoáveis dos titulares dos dados baseadas na sua relação com o responsável pelo tratamento e determinar se o titular dos dados pode razoavelmente prever, momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade.

63.

No âmbito desta justificação, o órgão jurisdicional de reenvio menciona a personalização da publicidade, a segurança da rede e o aperfeiçoamento do produto.

64.

Antes de mais, no que respeita à personalização da publicidade, decorre do considerando 47 do RGPD que se pode considerar que o tratamento de dados pessoais para efeitos de comercialização direta (direct marketing) é efetuado para responder a um interesse legítimo do responsável pelo tratamento. Todavia, no que se refere à necessidade do tratamento, importa salientar que os dados em questão provêm de fontes externas ao Facebook e, por isso, coloca‑se a questão de saber qual é o «grau de personalização» da publicidade objetivamente necessário a este respeito. Quanto à ponderação dos interesses envolvidos, importa, a meu ver, ter em conta a natureza do interesse legítimo em questão (no caso em apreço, um interesse puramente económico), bem como o impacto do tratamento no utilizador, incluindo as suas expectativas razoáveis e as eventuais medidas de salvaguarda adotadas pelo responsável pelo tratamento ( 88 ).

65.

Em seguida, podem ser feitas considerações semelhantes no que respeita à segurança da rede. Com efeito, embora essa justificação possa constituir um interesse legítimo do responsável pelo tratamento ( 89 ), é menos evidente concluir que o tratamento é necessário no caso em apreço, tendo igualmente em conta que os dados em questão provêm de fontes externas ao Facebook ( 90 ). Em todo o caso, recordo que cabe ao responsável pelo tratamento especificar as finalidades de segurança em que, eventualmente, cada tratamento se baseia.

66.

Por último, no que diz respeito ao aperfeiçoamento do produto, embora estejam excluídos os aperfeiçoamentos relacionados com a segurança, abrangidos pela justificação específica acima analisada, parece‑me que tal justificação deveria ser mais do interesse do utilizador do que do responsável pelo tratamento dos dados. Nesta perspetiva, é difícil compreender em que medida poderia constituir um interesse legítimo do responsável e escapar ao consentimento do utilizador. No que respeita ao requisito da necessidade e à ponderação dos direitos e interesses envolvidos, remeto para as considerações precedentes.

67.

Com a quarta questão prejudicial, que constitui, em substância, uma extensão da segunda parte da terceira questão prejudicial, pretende‑se saber se a recorrência de certas situações enumeradas implica a existência de um interesse legítimo na aceção do artigo 6.o, n.o 1, alínea f), do RGPD, ao passo que, com a sua quinta questão prejudicial, o órgão jurisdicional de reenvio pretende saber se a necessidade de responder a um pedido legítimo de fornecer certos dados, a de impedir comportamentos lesivos e promover a segurança ou para efeitos de investigação para o bem‑estar da sociedade e a de promover a proteção, a integridade e a segurança constituem justificações aplicáveis à prática controvertida ( 91 ).

68.

Independentemente da admissibilidade destas questões ( 92 ), considero, de maneira geral, que não se pode excluir, quanto à quarta questão prejudicial, que determinadas cláusulas que caracterizam a prática controvertida possam ser justificadas por interesses legítimos nas circunstâncias evocadas pelo órgão jurisdicional de reenvio ( 93 ) e, quanto à quinta questão prejudicial, que, em certas situações, a prática controvertida possa ser justificada com fundamento nas disposições referidas.

69.

No entanto, não resulta da decisão de reenvio se, e em que medida, a Meta Platforms Ireland indicou, para cada finalidade de tratamento e tipologia de dados tratados, os interesses legítimos concretamente prosseguidos ou outras justificações eventualmente pertinentes no caso em apreço ( 94 ). Por conseguinte, cabe ao órgão jurisdicional de reenvio, tendo em conta as indicações precedentes, analisar em que medida, nas circunstâncias evocadas por esse órgão jurisdicional, a prática controvertida é justificada pela existência de interesses legítimos da Meta Platforms Ireland no tratamento de dados na aceção do artigo 6.o, n.o 1, alínea f), do RGPD ou por outro dos requisitos enunciados no artigo 6.o, n.o 1, alíneas c), d) e e), deste regulamento.

70.

Em conclusão, proponho que se responda à terceira a quinta questões prejudiciais, que o artigo 6.o, n.o 1, alíneas b), c), d), e) e f), do RGPD deve ser interpretado no sentido de que a prática controvertida ou certas atividades que a compõem podem ser abrangidas pelas exceções previstas nestas disposições, desde que cada modalidade de tratamento de dados examinada preencha os requisitos previstos pela justificação concretamente apresentada pelo responsável pelo tratamento e que, por conseguinte:

71.

Com a sexta questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que um consentimento válido e livre na aceção do artigo 4.o, ponto 11, deste regulamento pode ser dado por utilizadores privados a uma empresa que tem uma posição dominante no mercado nacional das redes sociais em linha.

72.

A título preliminar, recordo que o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD preveem a obrigação de consentimento do titular dos dados, respetivamente, no que se refere ao tratamento de dados pessoais em geral e ao tratamento de dados pessoais sensíveis. Além disso, segundo o artigo 4.o, ponto 11, do RGPD, para efeitos deste regulamento, entende‑se por «[c]onsentimento» do titular dos dados uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento ( 95 ).

73.

No que se refere, mais especificamente, ao requisito do «livre» consentimento, que é o único posto em causa no caso em apreço, saliento que, nos termos do considerando 42 do RGPD, não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ( 96 ) ou não puder recusar nem retirar o consentimento sem ser prejudicado ( 97 ). Por outro lado, como previsto no artigo 7.o, n.o 1, do RGPD (e recordado no seu considerando 42), quando o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deve poder demonstrar que o titular deu o seu consentimento para o tratamento dos seus dados pessoais.

74.

Relativamente ao que é pertinente no caso em apreço, começo por recordar que, como sublinha o considerando 43, primeiro período, do RGPD, o consentimento não constitui fundamento jurídico válido para o tratamento de dados pessoais quando exista um «desequilíbrio manifesto» entre o titular dos dados e o responsável pelo tratamento ( 98 ), em seguida, que, nos termos do artigo 7.o, n.o 4, do RGPD, ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato ( 99 ) e, por último, que, em conformidade com o considerando 43, segundo período, do RGPD, presume‑se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico ( 100 ).

75.

No presente processo, considero que uma eventual posição dominante no mercado por parte do responsável pelo tratamento dos dados pessoais que explora uma rede social é relevante para a apreciação da existência de um consentimento livre por parte do utilizador dessa rede. Com efeito, a existência de uma situação de poder de mercado do responsável pelo tratamento de dados pessoais é suscetível de criar um desequilíbrio manifesto das relações de poder, no sentido indicado no n.o 74 das presentes conclusões ( 101 ). Contudo, há que especificar, por um lado, que, para que tal situação de poder de mercado seja pertinente do ponto de vista da aplicação do RGPD, não tem de ser necessariamente equiparada ao limiar de posição dominante na aceção do artigo 102.o TFUE ( 102 ) e, por outro, que esta circunstância não pode por si só privar, em princípio, um consentimento de validade ( 103 ).

76.

Por conseguinte, a validade de um consentimento deve ser examinada caso a caso, à luz dos outros fatores evocados nos n.os 73 e 74 das presentes conclusões e tendo em conta todas as circunstâncias do caso concreto e que o ónus de demonstrar que o titular dos dados deu o seu consentimento para o tratamento de dados pessoais que lhe dizem respeito recai sobre o responsável pelo tratamento.

77.

Em conclusão, proponho que se responda à sexta questão prejudicial, que o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que a simples circunstância de a empresa que explora uma rede social ter uma posição dominante no mercado nacional das redes sociais em linha para utilizadores privados não pode, por si só, privar de validade o consentimento do utilizador dessa rede para o tratamento dos seus dados pessoais, na aceção do artigo 4.o, ponto 11, do RGPD. Não obstante, tal circunstância desempenha um papel na apreciação da liberdade do consentimento na aceção desta disposição, que incumbe ao responsável pelo tratamento demonstrar, tendo em conta, se for caso disso, a existência de um desequilíbrio manifesto das relações de poder entre o titular dos dados e o responsável pelo tratamento, a eventual obrigação de consentir no tratamento de dados pessoais diferentes dos estritamente necessários para a prestação dos serviços em causa, a necessidade de o consentimento ser específico para cada finalidade de tratamento e a necessidade de evitar que a retirada do consentimento implique um prejuízo para o utilizador que retira o seu consentimento.

78.

Atendendo às considerações precedentes, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha) do seguinte modo: