1.

O presente pedido de decisão prejudicial, apresentado pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha) ao abrigo do artigo 267.o TFUE, tem por objeto a interpretação do artigo 57.o, n.o 1, alíneas a) e f), do artigo 58.o, n.o 2, bem como do artigo 77.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) ( 2 ) (a seguir «RGPD»).

2.

Este pedido foi apresentado no âmbito de um litígio que opõe TR ao Land Hessen (Estado Federal de Hesse, Alemanha), representado pelo Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Responsável pela proteção de dados e pela liberdade de informação para o Estado Federal de Hesse; a seguir «HBDI»), a respeito da recusa de este último intervir contra a Sparkasse em razão de uma violação de dados pessoais. O órgão jurisdicional de reenvio interroga‑se sobre se a autoridade de controlo, quando verifica que existe um tratamento de dados que viola os direitos do titular dos dados, está, em todo o caso, obrigada a intervir no âmbito dos poderes que lhe são conferidos pelo artigo 58.o, n.o 2, do RGPD ou se, num caso específico, se pode, apesar da violação, abster de intervir.

3.

O presente processo suscita várias questões de direito inéditas que convidam a uma profunda reflexão. O Tribunal de Justiça deve pronunciar‑se, em substância, sobre o papel dos princípios da legalidade e da oportunidade na prática administrativa das autoridades de controlo e, particularmente, na prossecução da sua missão de monitorizar a execução do RGPD e de assegurar o seu cumprimento. As orientações interpretativas que decorram da jurisprudência do Tribunal de Justiça influenciarão esta prática administrativa, contribuindo, assim, para uma aplicação coerente deste regulamento na União.

4.

Os considerandos 129, 141, 148 e 150 do RGPD têm a seguinte redação:

[…]

[…]

[…]

5.

O artigo 33.o, n.o 1, deste regulamento dispõe:

«Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.o, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. […]»

6.

O artigo 34.o, n.o 1, do referido regulamento prevê:

«Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.»

7.

O artigo 57.o, n.o 1, do mesmo regulamento enuncia:

«Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

[…]

[…]»

8.

Nos termos do artigo 58.o do RGPD:

«1.   Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

[…]

2.   Cada autoridade de controlo dispõe dos seguintes poderes de correção:

[…]

[…]»

9.

O artigo 77.o deste regulamento dispõe:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2.   A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78.o.»

10.

O artigo 78.o, n.os 1 e 2, do referido regulamento prevê:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

2.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados têm direito à ação judicial se a autoridade de controlo competente nos termos dos artigos 55.o e 56.o não tratar a reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado nos termos do artigo 77.o»

11.

O artigo 83.o, n.os 1 e 2, do RGPD enuncia:

«1.   Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2.   Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

12.

A Sparkasse é uma entidade municipal de direito público que realiza, designadamente, operações bancárias e de crédito. Em 15 de novembro de 2019, a Sparkasse notificou o HBDI de uma violação de dados pessoais, em conformidade com o artigo 33.o do RGPD, uma vez que uma das suas funcionárias tinha consultado diversas vezes, sem para isso estar habilitada, os dados pessoais de TR, um dos seus clientes. Considerando que não se tratava de uma violação de dados pessoais suscetível de implicar um risco elevado para TR, a Sparkasse também não notificou TR, ao abrigo do artigo 34.o deste regulamento.

13.

Após ter tomado conhecimento deste incidente, TR dirigiu‑se ao HBDI, por carta de 27 de julho de 2020, denunciando uma violação do artigo 34.o do RGPD e criticando a curta duração de três meses de conservação do registo de acesso da Sparkasse, bem como os amplos direitos de acesso de que dispõem todos os seus funcionários.

14.

No âmbito do processo no HBDI, a Sparkasse indicou que o seu responsável pela proteção de dados considerou que não havia nenhum risco para TR, uma vez que tinham sido adotadas medidas disciplinares contra a funcionária em causa e que esta tinha confirmado por escrito que não tinha copiado nem conservado os dados de que tomou conhecimento, não os tinha transmitido a terceiros e também não o faria no futuro. Além disso, o prazo de conservação dos dados de acesso devia ser revisto.

15.

Por Decisão de 3 de setembro de 2020, o HBDI informou TR de que, no caso vertente, a Sparkasse não tinha violado o artigo 34.o do RGPD. Segundo esta autoridade, ao abrigo desta disposição, a decisão que deveria ser tomada seria baseada em prognósticos. À luz da legislação sobre o controlo da proteção de dados, há que apreciar se a decisão baseada em prognósticos era manifestamente errada. Ora, a Sparkasse tinha explicado que, ainda que os dados tivessem sido consultados, nada indicava que a funcionária que os tinha consultado tivesse transmitido os mesmos dados a terceiros ou os tivesse utilizado em prejuízo de TR. Assim, provavelmente, não tinha existido um risco elevado. Além disso, a Sparkasse tinha sido convidada a manter o seu registo de acesso durante mais tempo. Segundo o HBDI, não era necessário um controlo sistemático de cada acesso, podendo, em princípio, ser conferidos amplos direitos de acesso caso se tenha a certeza de que cada utilizador está informado das condições em que pode aceder aos dados especificados.

16.

TR interpôs recurso da Decisão de 3 de setembro de 2020 no Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden), que é o órgão jurisdicional de reenvio, pedindo‑lhe que ordenasse ao HBDI que interviesse contra a Sparkasse.

17.

Em apoio do seu recurso, TR alega que o HBDI não tratou a sua reclamação conforme exigido pelo RGPD. Afirma ter direito a que essa reclamação seja tratada e a ser informado do seguimento dado. O HBDI estava obrigado a investigar as circunstâncias factuais nas quais se inclui a avaliação do risco pela Sparkasse sem se limitar às medidas expressamente solicitadas e devia ter aplicado coimas à Sparkasse. Segundo TR, caso se comprove a violação, o princípio da oportunidade não funciona, pelo que o HBDI não podia decidir entre intervir ou não, mas, no máximo, escolher as medidas que tencionava adotar.

18.

O órgão jurisdicional de reenvio especifica que, no caso vertente, o HBDI, enquanto autoridade de controlo, concluiu que, embora tenha havido violação das disposições relativas à proteção de dados, não havia que intervir nos termos do artigo 58.o, n.o 2, do RGPD. Ora, esta posição só seria legal se a autoridade de controlo não estivesse obrigada a intervir mesmo quando é demonstrada uma violação da proteção de dados. Caso se seguisse o ponto de vista de TR, segundo o qual a autoridade de controlo não tem nenhum poder discricionário, tal teria por consequência que existiria um direito a uma intervenção e à adoção de medidas corretivas caso se demonstrasse a existência de violação e que a autoridade de controlo deveria, em todos os casos, adotar uma medida. Em caso de recusa, o órgão jurisdicional teria de obrigar a autoridade de controlo a tomar uma medida ou um conjunto de medidas.

19.

O órgão jurisdicional de reenvio expõe que esta argumentação, que também é defendida por parte da doutrina, se baseia no facto de os poderes de correção previstos no artigo 58.o, n.o 2, do RGPD servirem para restaurar as condições legais quando os cidadãos veem os seus direitos violados através de um tratamento de dados. Esta disposição deve, assim, ser entendida como uma fonte de obrigação que fundamenta um direito do cidadão a uma atuação das autoridades quando uma empresa ou uma autoridade tiver tratado ilegalmente dados pessoais do cidadão ou violado direitos de outra forma. Caso se verifique a violação da proteção de dados, a autoridade de controlo está obrigada a tomar medidas corretivas, sendo o poder de escolher qual das medidas previstas vai adotar o único poder discricionário que lhe resta.

20.

O órgão jurisdicional de reenvio tem, no entanto, dúvidas sobre esta interpretação e considera‑a demasiado extensiva. Pelo contrário, tende a reconhecer à autoridade de controlo uma margem de manobra que lhe permita igualmente abster‑se de impor sanções, mesmo que se verifiquem infrações. Com efeito, o artigo 57.o, n.o 1, alínea f), do RGPD apenas prevê que a autoridade de controlo à qual foram apresentadas as reclamações aprecie o seu conteúdo, na medida do necessário, e informe o autor da reclamação do andamento e do resultado da investigação num prazo razoável. Por conseguinte, a autoridade de controlo tem, a esse título, a obrigação de proceder a uma análise atenta do mérito e de apreciar cada caso concreto, mas daí não resulta que deva sempre e absolutamente intervir caso se verifique a infração.

21.

Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«Devem os artigos 57.o, n.o 1, alíneas a) e f)[,] e 58.o, n.o 2, alíneas a) a j), em conjugação com o artigo 77.o, n.o 1, do [RGPD], ser interpretados no sentido de que, quando a autoridade de controlo constata a existência de um tratamento de dados que viola os direitos do interessado, a autoridade de controlo é sempre obrigada a intervir nos termos do artigo 58.o, n.o 2, [deste regulamento]?»

22.

A Decisão de reenvio de 10 de dezembro de 2021 deu entrada na secretaria do Tribunal de Justiça em 14 de dezembro de 2021.

23.

As partes no processo principal, os Governos Austríaco, Português, Romeno e Norueguês, bem como a Comissão Europeia, apresentaram observações escritas no prazo previsto no artigo 23.o do Estatuto do Tribunal de Justiça da União Europeia.

24.

Na reunião geral de 16 de janeiro de 2024, o Tribunal de Justiça decidiu não realizar audiência de alegações.

25.

Desde a entrada em vigor do RGPD, muitos organismos tiveram de adotar um conjunto de medidas para cumprir a nova legislação em matéria de tratamento de dados pessoais. Se os organismos não respeitarem essas medidas, ficam sujeitos a sanções mais ou menos pesadas em função da gravidade da infração. As coimas estão no centro do regime de aplicação que foi introduzido pelo RGPD. Estas constituem um elemento eficaz da panóplia de que as autoridades de controlo dispõem para fazer cumprir a legislação, em paralelo com outras medidas corretivas previstas pelo artigo 58.o, n.o 2, do RGPD. Uma vez que este regulamento permite que as autoridades de controlo apliquem coimas por vezes muito elevadas, afigura‑se adequado especificar, no interesse da segurança jurídica, quais as circunstâncias que justificam o recurso a esta medida corretiva. Por conseguinte, as presentes conclusões devem ser entendidas como uma contribuição para este objetivo.

26.

As conclusões no presente processo retomam, por assim dizer, as minhas conclusões nos processos apensos C‑26/22 e C‑64/22 (SCHUFA Holding) (a seguir «processos SCHUFA») ( 3 ). Como já expliquei nesses processos quais as obrigações que incumbem à autoridade de controlo no âmbito da apreciação de uma reclamação apresentada nos termos do artigo 77.o do RGPD, abordarei, no presente processo, as suas obrigações uma vez detetada a violação de dados pessoais, bem como os seus poderes de correção, nomeadamente, a aplicação de coimas. Por último, analisarei a questão de saber se o RGPD prevê a obrigação de a autoridade de controlo aplicar tal coima em todos os casos ou, pelo menos, quando o autor da reclamação o exija expressamente. Com base numa síntese da minha análise, responderei à questão submetida pelo órgão jurisdicional de reenvio relativa à possibilidade de a autoridade de controlo não adotar medidas corretivas.

27.

Antes de examinar todos estes aspetos, há que abordar o argumento de TR, relativo à inadmissibilidade do pedido de decisão prejudicial. Mais concretamente, TR alega que não é necessária uma resposta à questão submetida para decidir o litígio no processo principal. O seu recurso pretende apenas que o órgão jurisdicional de reenvio condene o HBDI a pronunciar‑se sobre as acusações formuladas na reclamação que lhe foi submetida, e não que o HBDI seja condenado a fazer uso dos poderes conferidos pelo artigo 58.o, n.o 2, do RGPD.

28.

A este respeito, importa relembrar que, no âmbito da cooperação entre o Tribunal de Justiça e os órgãos jurisdicionais nacionais instituída pelo artigo 267.o TFUE, o juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade pela decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal de Justiça. Consequentemente, desde que as questões submetidas sejam relativas à interpretação do direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se ( 4 ).

29.

Daqui resulta que as questões relativas à interpretação do direito da União submetidas pelo juiz nacional no quadro regulamentar e factual que define sob a sua responsabilidade, e cuja exatidão não compete ao Tribunal de Justiça verificar, gozam de uma presunção de pertinência. O Tribunal de Justiça só se pode recusar pronunciar sobre um pedido apresentado por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ( 5 ).

30.

No caso vertente, o órgão jurisdicional de reenvio, embora expondo claramente as razões pelas quais se interroga sobre a interpretação das disposições do direito da União referidas na sua questão prejudicial, especificou que a resposta a esta era determinante para a resolução do litígio no processo principal, visto que TR tinha pedido ao HBDI que interviesse contra a Sparkasse. Como resulta da exposição de motivos constante do pedido de decisão prejudicial, TR alegou um «direito» de exigir essa intervenção. Em particular, do ponto de vista de TR, «o HBDI deveria ter aplicado coimas à Sparkasse». É neste contexto que o órgão jurisdicional de reenvio se refere aos cálculos efetuados por TR para determinar o montante das coimas a aplicar.

31.

Todas estas informações, facultadas pelo próprio órgão jurisdicional de reenvio, contradizem claramente as alegações de TR quanto à alegada inadmissibilidade do pedido de decisão prejudicial. Tendo em conta estas circunstâncias, não há, na minha opinião, nenhuma dúvida de que, para a resolução do litígio, é necessária uma resposta à questão submetida pelo órgão jurisdicional de reenvio. Com efeito, afigura‑se essencial estabelecer o alcance dos poderes da autoridade de controlo, bem como das suas obrigações para com o autor de uma reclamação. Por conseguinte, há que concluir pela admissibilidade do pedido de decisão prejudicial.

32.

No que respeita ao mérito, a questão prejudicial pretende determinar, em substância, quais são as obrigações da autoridade de controlo quando tiver sido detetada uma violação de dados pessoais. Tal hipótese pressupõe geralmente que tenha sido provada a violação em causa no âmbito de uma investigação iniciada na sequência de uma reclamação.

33.

As declarações do órgão jurisdicional de reenvio revelam algumas imprecisões no que respeita às obrigações que o RGPD impõe à autoridade de controlo quando aprecia uma reclamação, o que se explica, na minha opinião, pelo facto de o pedido de decisão prejudicial ter sido apresentado antes da prolação do Acórdão nos processos SCHUFA ( 6 ), no qual o Tribunal de Justiça estabeleceu uma série de princípios importantes que regem o procedimento de reclamação. Por conseguinte, pode razoavelmente supor‑se que o órgão jurisdicional não teve a possibilidade de tomar conhecimento desta jurisprudência.

34.

Com a preocupação de apresentar, da forma mais completa possível, o quadro jurídico relativo ao regime de vigilância instituído pelo RGPD e a fim de dar uma resposta útil ao órgão jurisdicional de reenvio, parece‑me indispensável recordar, num primeiro momento, quais são os princípios aplicáveis ao procedimento de reclamação ( 7 ) e explicar, num segundo momento, como deve uma autoridade de controlo proceder quando tiver identificado uma violação de dados pessoais ( 8 ).

35.

Como salientou o Tribunal de Justiça no Acórdão SCHUFA, em conformidade com o artigo 8.o, n.o 3, da Carta, e com os artigos 51.o, n.o 1, e 57.o, n.o 1, alínea a), do RGPD, as autoridades nacionais de controlo estão encarregadas de fiscalizar o cumprimento das regras da União relativas à proteção das pessoas singulares no que se refere ao tratamento de dados pessoais ( 9 ).

36.

Concretamente, por força do artigo 57.o, n.o 1, alínea f), do RGPD, cada autoridade de controlo está obrigada, no respetivo território, a tratar as reclamações que, em conformidade com o artigo 77.o, n.o 1, deste regulamento, qualquer pessoa tem o direito de apresentar quando considere que um tratamento de dados pessoais que lhe diga respeito constitui uma violação do referido regulamento, assim como a examinar o seu objeto na medida do necessário ( 10 ).

37.

A autoridade de controlo deve proceder ao tratamento de uma reclamação dessa natureza com toda a diligência exigida. O Tribunal de Justiça salientou também que, para tratar as reclamações apresentadas, o artigo 58.o, n.o 1, do RGPD investe cada autoridade de controlo de importantes poderes de investigação ( 11 ).

38.

Neste contexto, importa observar que o Tribunal de Justiça aderiu à interpretação que defendi nas conclusões apresentadas nesses processos SCHUFA, segundo a qual o processo de reclamação, que não se assemelha ao de uma petição, é concebido como um mecanismo capaz de salvaguardar de maneira eficaz os direitos e interesses dos titulares dos dados ( 12 ).

39.

Por outro lado, há que salientar que o Tribunal de Justiça também partilhou da minha interpretação do artigo 78.o, n.o 1, do RGPD, ao considerar que uma decisão sobre uma reclamação adotada por uma autoridade de controlo está sujeita a uma fiscalização jurisdicional plena ( 13 ).

40.

Quando a autoridade de controlo constata uma violação de dados pessoais na apreciação de uma reclamação, coloca‑se então a questão de saber como deve proceder. Como explicarei a seguir, tal constatação estabelece, antes de mais, uma obrigação de a autoridade de controlo intervir no interesse do princípio da legalidade. De maneira geral, trata‑se de identificar a(s) medida(s) corretiva(s) mais adequada(s) para sanar a infração ( 14 ). Esta interpretação parece‑me razoável, tendo em conta que, segundo o artigo 57.o, n.o 1, alínea a), do RGPD, a autoridade tem a atribuição de «controla[r] e executa[r] a aplicação do presente regulamento». É incompatível com este mandato que a autoridade de controlo tenha a faculdade de simplesmente ignorar a infração verificada ( 15 ).

41.

Além disso, os poderes de investigação de que a autoridade de controlo dispõe nos termos do artigo 58.o, n.o 1, do RGPD não teriam grande valor se a autoridade de controlo fosse obrigada a limitar‑se a realizar um inquérito apesar da verificação de uma violação dos direitos de dados pessoais. Com efeito, a aplicação do direito da União em matéria de proteção de dados pessoais constitui um elemento essencial do conceito de «controlo» a que se refere o artigo 16.o, n.o 2, TFUE e o artigo 8.o, n.o 3, da Carta ( 16 ). Neste contexto, importa não esquecer que a autoridade de controlo atua também no interesse da pessoa ou da entidade cujos direitos foram violados. A este respeito, importa salientar que o artigo 57.o, n.o 1, alínea f), e o artigo 77.o, n.o 2, do RGPD impõem certas obrigações para com o autor da reclamação, a saber, «inform[á‑lo] sobre o andamento e o resultado da investigação».

42.

Este último período implica que a autoridade de controlo deve, também, dar conta das medidas adotadas relativamente à violação de dados pessoais que identificou. É evidente que o procedimento de reclamação não teria nenhuma utilidade se a autoridade de controlo pudesse ficar passiva face a uma situação jurídica contrária ao direito da União. É por esta razão que, para dar à autoridade de controlo um meio eficaz para fazer face a este tipo de infrações, o artigo 58.o, n.o 2, do RGPD prevê um catálogo de medidas corretivas, escalonadas em função da intensidade da intervenção. A obrigação de intervir em todos os casos, independentemente da gravidade da infração, significa que a autoridade de controlo deve recorrer a este catálogo de medidas corretivas para restabelecer uma situação conforme com o direito da União ( 17 ).

43.

Dito isto, importa especificar que a questão de saber se a autoridade deve intervir em caso de violação de dados pessoais deve ser claramente distinguida da questão de saber como deve concretamente intervir. Relativamente a esta última questão, múltiplos indícios permitem deduzir que a autoridade de controlo dispõe de uma margem de manobra que deve ser exercida em conformidade com os objetivos do RGPD e dentro dos limites fixados por este regulamento. Ainda que já tenha apresentado alguns argumentos que apoiam tal interpretação nos processos SCHUFA ( 18 ), parece‑me necessário abordar esta questão de maneira aprofundada nas presentes conclusões.

44.

Antes de mais, importa observar que, em conformidade com o artigo 58.o, n.o 2, do RGPD, a autoridade de controlo «dispõe do poder» de adotar todas as medidas corretivas enumeradas nesta disposição, o que significa a existência de uma faculdade, como salienta, com razão, o órgão jurisdicional de reenvio. Aliás, esta conotação encontra‑se em todas as versões linguísticas que examinei no âmbito da minha análise ( 19 ).

45.

O artigo 58.o, n.o 2, do RGPD deve ser interpretado à luz do considerando 129 deste regulamento, segundo o qual «cada medida [deve] ser adequada, necessária e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstâncias de cada caso concreto» (sublinhado meu). Por outras palavras, o «poder» conferido à autoridade de controlo de recorrer ao catálogo das medidas corretivas referido nesta disposição está subordinado a uma série de pressupostos, nomeadamente a que a medida adotada por essa autoridade seja «adequada». Interpreto este conceito jurídico indeterminado, que atribui à autoridade uma margem de manobra, no sentido de que a medida escolhida deve poder, em razão das suas propriedades e do seu modo de ação, restabelecer uma situação conforme com o direito da União ( 20 ).

46.

Esta interpretação segue inteiramente a jurisprudência do Tribunal de Justiça que declarou que, quando uma autoridade de controlo verifica que um tratamento de dados pessoais constitui uma violação do RGPD, «está obrigada […] a reagir de forma apropriada, a fim de sanar a insuficiência verificada» ( 21 ). Assim como observa a Comissão, a obrigação, consequentemente, vincula a autoridade de controlo, antes de mais, quanto ao resultado a alcançar, a saber, sanar a infração verificada, e a adotar a medida «adequada» a este fim. Além disso, importa salientar que a decisão relativa à medida a adotar depende das circunstâncias concretas de cada caso concreto, como resulta claramente do considerando 129 do RGPD supramencionado. Por conseguinte, as decisões adotadas pela autoridade de controlo no âmbito da sua prática administrativa podem variar sensivelmente de um caso para outro, em função da situação.

47.

Visto que o artigo 58.o, n.o 2, do RGPD se limita a enunciar que cada autoridade de controlo «dispõe […] do poder» de adotar todas as medidas corretivas enumeradas nesta disposição, a autoridade de controlo beneficia de uma margem de manobra uma vez que, em princípio, é livre de escolher entre essas medidas corretivas para sanar a infração verificada. Como o Tribunal de Justiça sublinhou no Acórdão proferido no processo C‑311/18 (Facebook Ireland e Schrems), «a escolha do meio adequado e necessário [cabe] à autoridade de controlo», que deve fazer essa escolha tomando em consideração todas as circunstâncias do caso concreto ( 22 ).

48.

O reconhecimento de um poder discricionário implica também, na minha opinião, o poder de não adotar nenhuma das medidas corretivas referidas no artigo 58.o, n.o 2, do RGPD quando tal abordagem se justifique pelas circunstâncias específicas do caso concreto. Com efeito, uma vez que o recurso ao catálogo de medidas corretivas está também subordinado ao pressuposto de que a medida em causa seja «necessária» para garantir o cumprimento do RGPD, não se pode excluir que uma intervenção concreta por parte da autoridade de controlo não cumpra este pressuposto, por exemplo, se a questão for entretanto resolvida ou ultrapassada e tiver deixado de haver infração. É evidente que uma intervenção da autoridade de controlo seria desprovida de sentido nessas circunstâncias.

49.

Do mesmo modo, como refere com razão o Governo Português, a aplicação de medidas corretivas pode já não se justificar se o grau de censurabilidade da conduta do responsável pelo tratamento ou do subcontratante for manifestamente baixo, ou se as circunstâncias do caso forem em si mesmo mitigadoras, inclusive por existir alguma responsabilidade repartida com o autor da reclamação. Ora, tal pressupõe que a autoridade de controlo tenha a faculdade de fixar um limiar abaixo do qual uma intervenção não é considerada «necessária» na aceção do RGPD.

50.

Neste contexto, permito‑me chamar a atenção para o considerando 141 do RGPD, que evoca explicitamente a possibilidade de a autoridade de controlo decidir não agir, nos casos em que considera que uma ação não é «necessária» para garantir a proteção dos direitos do titular dos dados («não tomar as iniciativas necessárias») (sublinhado meu). Este considerando especifica que a decisão da autoridade de controlo é suscetível de fiscalização jurisdicional, também, no caso de o autor da reclamação não partilhar da apreciação da autoridade de controlo no que respeita à «necessidade» de intervir, além dos outros casos aí enumerados, a saber, quando os direitos que lhe são conferidos por este regulamento são violados ou quando a autoridade de controlo não responder a uma reclamação, a recusar ou rejeitar, total ou parcialmente.

51.

O poder discricionário reconhecido à autoridade de controlo nos termos do artigo 58.o, n.o 2, do RGPD implica que também é possível sanar infrações menores através de outras medidas adotadas pelo próprio responsável pelo tratamento. Como mostram as circunstâncias do caso vertente, as medidas corretivas a adotar pelas empresas responsáveis de forma «autónoma» podem consistir na adoção de medidas disciplinares contra os trabalhadores que cometeram infrações. Em circunstâncias em que a responsabilidade pela infração foi reconhecida e se garantiu que não ocorrerá uma nova violação de dados, a imposição de medidas corretivas adicionais pela autoridade de controlo pode parecer desnecessária.

52.

Em determinadas circunstâncias, pode mesmo mostrar‑se contraproducente utilizar o poder de adotar medidas corretivas contra um responsável pelo tratamento, quando tal não seja adequado ou necessário. Se a autoridade de controlo fosse obrigada a utilizar os poderes para adotar medidas corretivas previstas no artigo 58.o, n.o 2, do RGPD em cada caso de violação, daí resultaria uma diminuição dos recursos disponíveis para o acompanhamento de outros processos e tarefas que merecem mais atenção do ponto de vista da proteção de dados. Por este motivo, considero que o recurso a medidas «autónomas» adotadas pelo próprio responsável pelo tratamento permitiria à autoridade de controlo concentrar‑se em infrações graves que merecem prioridade, sem deixar de garantir uma luta contínua, mas de maneira descentralizada, contra as violações de dados pessoais, a saber, através de uma delegação parcial das suas funções.

53.

Se a autoridade de controlo optar por se abster de aplicar as medidas corretivas referidas no artigo 58.o, n.o 2, do RGPD, privilegiando a adoção de medidas «autónomas» pelo responsável pelo tratamento, parece‑me, no entanto, indispensável que sejam respeitados alguns requisitos jurídicos. Em primeiro lugar, a autoridade de controlo deve dar o seu consentimento expresso a tal medida, a fim de evitar que o regime de supervisão instituído pelo RGPD seja contornado. Em segundo lugar, esse consentimento deve ser precedido de uma análise rigorosa da situação à luz dos pressupostos referidos no considerando 129 do RGPD, a fim de não dispensar a autoridade de controlo da sua responsabilidade de assegurar o cumprimento deste regulamento. Em terceiro lugar, o acordo com a entidade que deve aplicar a medida «autónoma» deve prever o direito de a autoridade de controlo intervir se as suas instruções não forem respeitadas. Se o Tribunal de Justiça seguir esta interpretação e considerar que tais medidas «autónomas» estão, em princípio, em conformidade com o RGPD, entendo que o Tribunal de Justiça deve também insistir na necessidade de respeitar os pressupostos supramencionados no interesse da coerência do sistema de supervisão.

54.

Uma vez que o artigo 58.o, n.o 2, do RGPD reconhece um poder discricionário à autoridade de controlo no que diz respeito à escolha da medida corretiva «adequada» no caso concreto, é lógico excluir qualquer direito de o autor da reclamação exigir a adoção de uma determinada medida. Com efeito, embora o autor da reclamação disponha de certos direitos face à autoridade de controlo no âmbito desse procedimento, nomeadamente do direito de ser informado do andamento e do resultado da investigação num prazo razoável, não deixa de ser verdade que estes direitos não incluem o de exigir a adoção de uma medida específica.

55.

Tal direito também não pode ser deduzido do facto de o autor da reclamação beneficiar do direito a uma ação judicial efetiva contra uma autoridade de controlo, nos termos do artigo 78.o do RGPD, uma vez que a obrigação principal desta autoridade em relação ao autor da reclamação no âmbito do procedimento de reclamação consiste em fundamentar de forma suficientemente específica e detalhada a sua decisão de intervir ou não no caso em apreço, tendo em conta as verificações feitas no âmbito das investigações realizadas pela autoridade.

56.

Por outro lado, importa observar que, em conformidade com o artigo 78.o, n.o 2, do RGPD, a ação judicial pode ser intentada com o fundamento de que a autoridade de controlo competente não trata a reclamação ou não informa o titular dos dados, no prazo de três meses, sobre o andamento ou o resultado da reclamação que apresentou ao abrigo do artigo 77.o deste regulamento. Ora, não se pode deixar de observar que nenhum dos fundamentos mencionados indica que a pessoa em causa dispõe de um determinado direito subjetivo a pedir a adoção de uma determinada medida no âmbito de uma ação judicial.

57.

O mesmo se aplica à possibilidade, referida no considerando 141 do RGPD, de contestar, através de uma ação judicial, a apreciação da autoridade de controlo quanto à «necessidade» de intervir para proteger os direitos do titular dos dados. Mesmo que a «necessidade» de intervir num caso concreto venha a ser determinada pelo órgão jurisdicional competente, isso não significa necessariamente que uma determinada medida deva ser adotada pela autoridade de controlo. Esta última está, antes, obrigada a exercer o seu poder discricionário, se for caso disso, tendo em conta a apreciação efetuada por esse órgão jurisdicional.

58.

Dito isto, importa especificar que também é concebível que a autoridade de controlo, enquanto órgão administrativo, se veja obrigada a adotar uma medida determinada em razão das circunstâncias particulares do caso em apreço, nomeadamente quando exista um risco sério de violação dos direitos fundamentais da pessoa em causa. Referi, especificamente, esta hipótese nas minhas conclusões nos processos SCHUFA ( 23 ). O presente pedido de decisão prejudicial possibilita, assim, a oportunidade de desenvolver este ponto.

59.

A este respeito, importa recordar, antes de mais, o Acórdão proferido no processo C‑311/18 (Facebook Ireland e Schrems), no qual o Tribunal de Justiça deixou entrever que tal situação pode efetivamente existir. Mais concretamente, o Tribunal de Justiça declarou que a autoridade de controlo está obrigada, se for caso disso, a tomar algumas das medidas enumeradas no artigo 58.o, n.o 2, do RGPD, nomeadamente, quando considere que a proteção exigida pelo direito da União não pode ser assegurada por outros meios. Por conseguinte, nesta medida, o poder discricionário da autoridade de controlo limita‑se a algumas ou mesmo, sendo caso disso, a uma das medidas referidas nesta disposição ( 24 ).

60.

Como refere, com razão, o Governo Austríaco, pode existir uma multiplicidade de situações semelhantes que exijam a adoção de uma determinada medida corretiva, como, por exemplo, aquela em que a autoridade de controlo verifica, no âmbito de um procedimento de reclamação, que existe uma obrigação de apagamento e que o responsável pelo tratamento ainda não apagou os dados. Na situação descrita, a autoridade de controlo será obrigada, em todo o caso, em conformidade com o artigo 58.o, n.o 2, alínea g), do RGPD, a ordenar o apagamento.

61.

Os exemplos referidos nos números anteriores mostram que não se pode excluir que, em função das circunstâncias específicas do caso concreto, o restabelecimento de uma situação conforme com o direito da União só possa ser obtido através da adoção de uma determinada medida corretiva. Em especial, parece‑me que, nas circunstâncias em que, de outro modo, existiria um risco de violação grave dos direitos do titular dos dados, o poder discricionário da autoridade de controlo poderia ser limitado à adoção da única medida adequada para proteger os direitos dessa pessoa.

62.

Qualquer outra interpretação seria, na minha opinião, incompatível com a obrigação de garantir o respeito dos direitos fundamentais da Carta, aos quais estão vinculadas as autoridades dos Estados‑Membros quando aplicam o direito da União, em conformidade com o artigo 51.o, n.o 1, da Carta. Essa obrigação incumbe também às autoridades de controlo, bem como decorre do artigo 58.o, n.o 4, do RGPD ( 25 ). Nesta perspetiva, é razoável sustentar a tese de que o direito da União confere ao titular dos dados um direito subjetivo de exigir que a autoridade adote a medida em causa. Todavia, devo sublinhar que, no caso vertente, não vejo nenhum indício de que os pressupostos de tal limitação do poder discricionário da autoridade de controlo se verifiquem.

63.

Em suma, há que concluir que uma autoridade de controlo à qual seja apresentada uma reclamação nos termos do artigo 77.o do RGPD está obrigada, sempre que verifique uma violação dos direitos do titular dos dados, a reagir de maneira adequada, a fim de sanar as deficiências verificadas e persistentes e de assegurar a proteção dos direitos do titular dos dados. Quando a autoridade de controlo intervém a este respeito, deve escolher, entre os poderes referidos no artigo 58.o, n.o 2, deste regulamento, a medida adequada, necessária e proporcionada. Este poder discricionário na escolha dos meios é, consequentemente, limitado quando a proteção exigida só pode ser assegurada através da adoção de medidas específicas.

64.

Após esta exposição geral sobre o poder de que dispõe a autoridade de controlo para adotar medidas corretivas, há que analisar a questão de saber se a autoridade de controlo está obrigada a aplicar coimas em todos os casos. Embora alguns aspetos desta questão possam ser clarificados com base nas observações anteriores, afiguram‑se‑me necessárias algumas explicações adicionais. Com efeito, embora o legislador da União tenha incluído as coimas entre os «poderes de correção» nos termos do artigo 58.o, n.o 2, do RGPD, não deixa de ser verdade que apresentam algumas características específicas em relação às outras medidas. É por esta razão que esta parte da análise se centrará nas regras específicas referidas no artigo 58.o, n.o 2, alínea i), e no artigo 83.o deste regulamento.

65.

Como recordou recentemente o Tribunal de Justiça, a coima inscreve‑se no sistema de sanções estabelecido pelo RGPD, criando um incentivo para os responsáveis pelo tratamento e os subcontratantes cumprirem este regulamento. Através do seu efeito dissuasivo, as coimas contribuem para o reforço da proteção das pessoas singulares relativamente ao tratamento dos dados pessoais e constituem assim um elemento‑chave para garantir o respeito pelos direitos dessas pessoas, em conformidade com a finalidade do referido regulamento de assegurar um nível de proteção elevado dessas pessoas relativamente ao tratamento dos dados pessoais ( 26 ).

66.

O artigo 83.o do RGPD prevê um sistema a dois níveis, indicando explicitamente que determinadas violações são mais graves do que outras. O primeiro nível inclui a violação das disposições que regem as responsabilidades de diferentes intervenientes (responsável pelo tratamento, subcontratante, organismos de certificação, etc.). O segundo nível inclui as violações dos direitos individuais protegidos por este regulamento, como os direitos fundamentais, os princípios básicos do tratamento, os direitos à informação dos titulares dos dados, as regras de transferência, etc. A ambos os níveis, devem ser efetuadas duas avaliações: primeiro, para decidir sobre a aplicação de uma coima e, segundo, para decidir do montante da coima. Em ambas as avaliações, as autoridades de controlo devem considerar todos os fatores individuais enumerados no artigo 83.o, n.o 2, do referido regulamento. No entanto, as conclusões estabelecidas na primeira fase podem ser utilizadas na segunda etapa relativa ao montante da coima, a fim de evitar ter de efetuar uma segunda avaliação com base nos mesmos critérios ( 27 ).

67.

Após estas explicações preliminares, examinarei em seguida a questão relativa à eventual obrigação de aplicar coimas em todos os casos. A este respeito, importa, antes de mais, observar que o artigo 58.o, n.o 2, alínea i), do RGPD dispõe que a autoridade de controlo pode aplicar uma coima «consoante as circunstâncias de cada caso». Esta disposição deve ser lida em conjugação com o artigo 83.o, n.o 2, deste regulamento, que prevê não só a mesma restrição à aplicação de tal medida corretiva mas também sugere que a autoridade de controlo se pode mesmo abster de o fazer («ao decidir sobre a aplicação de uma coima») (sublinhado meu) se as circunstâncias justificarem tal abordagem. Esta formulação é repetida — em termos mais ou menos semelhantes — noutras versões linguísticas ( 28 ). Em suma, a própria redação do artigo 83.o, n.o 2, do RGPD indica que a aplicação de uma coima não é obrigatória em todos os casos.

68.

Além disso, há que observar que esta disposição impõe à autoridade de controlo que tenha em conta, em cada caso concreto, uma série de elementos, para decidir se deve aplicar uma coima. Trata‑se, em substância, de circunstâncias — agravantes e atenuantes — que influenciam a decisão da autoridade de controlo, como a natureza, a gravidade e a duração da infração, mas também das circunstâncias relacionadas com o comportamento do responsável pelo tratamento, como o caráter intencional ou negligente da infração ( 29 ).

69.

Neste contexto, o segundo e terceiro períodos do considerando 148 do RGPD parecem‑me relevantes para efeitos da interpretação do artigo 83.o, n.o 2, deste regulamento, uma vez que dão indicações sobre as características que devem ser tidas em conta na tomada de decisão. Este considerando tem por efeito a introdução do conceito de «infração menor», com consequências consideráveis para a prática administrativa da autoridade de controlo ( 30 ). Aí pode ler-se, nomeadamente, que «[e]m caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima» (sublinhado meu).

70.

Na minha opinião, esta indicação permite deduzir que o legislador da União estava ciente de que uma coima constitui uma medida corretiva particularmente severa à qual não se deve recorrer em todos os casos, sob pena de diminuir a sua eficácia, mas apenas quando as circunstâncias de um caso concreto o exijam. Com efeito, o considerando 148 do RGPD evoca o princípio da proporcionalidade que as autoridades de controlo devem respeitar quando aplicam este regulamento no contexto específico das sanções, incluindo das coimas. Como já foi salientado na minha análise, este princípio é refletido no considerando 129 do referido regulamento, relativo à adoção de medidas corretivas em geral ( 31 ). O sistema de sanções que o legislador pretendeu estabelecer é, consequentemente, flexível e diferenciado ( 32 ).

71.

Decorre da interpretação do referido artigo 83.o, n.o 2, lido à luz do considerando 148 do RGPD, que, mesmo face à verificação de uma infração, a avaliação dos critérios enunciados nesta disposição pode levar a autoridade de controlo a considerar que, nas circunstâncias concretas do caso em apreço, a infração não cria um risco significativo para os direitos dos titulares dos dados, por exemplo, e não afeta a essência da obrigação em questão. Nesses casos, a coima é por vezes — mas nem sempre — substituída por uma advertência ( 33 ).

72.

No entanto, importa precisar que este considerando 148 não obriga a autoridade de controlo a substituir oficiosamente a coima por uma repreensão no caso de uma infração menor, mas deixa‑lhe a possibilidade de o fazer após uma avaliação concreta de todas as circunstâncias do caso. Por último, resulta do referido considerando 148 que a autoridade de controlo se pode abster de aplicar uma coima, mesmo que o recurso a essa medida corretiva seja a priori necessário com base na avaliação que efetuou, se essa coima constituir um encargo desproporcionado para uma pessoa singular ( 34 ).

73.

Assim, as características próprias de cada caso concreto, a que se refere o artigo 83.o, n.o 2, do RGPD, determinam em última análise se há lugar à aplicação de coima e, sendo esse o caso, o montante da mesma. Todos os indícios reforçam a minha perspetiva de que esta decisão constitui, em última análise, uma decisão discricionária da autoridade de controlo ( 35 ). Esta última deve exercer, de maneira conscienciosa e em conformidade com os requisitos do RGPD, o poder discricionário que lhe foi atribuído. Os limites a este poder discricionário decorrem dos princípios gerais do direito da União e do direito dos Estados‑Membros, nomeadamente do princípio da igualdade de tratamento. Daí resulta a necessidade de desenvolver uma prática administrativa de aplicação de coimas que trata casos semelhantes de maneira comparável.

74.

Gostaria também de salientar que, em caso de aplicação cumulativa de sanções pecuniárias de caráter penal, existe mesmo o risco de violar o princípio«ne bis in idem», conforme é interpretado pelo Tribunal de Justiça, como resulta do considerando 149 do RGPD. Ora, este princípio constitui um direito fundamental, que é protegido pelo artigo 50.o da Carta, e só pode ser limitado mediante pressupostos estritos, previstos no artigo 52.o da Carta. Por outras palavras, as barreiras de natureza jurídica também podem obstar à aplicação de coimas.

75.

O último aspeto a examinar diz respeito à questão de saber se a autoridade de controlo está obrigada a aplicar coimas quando o autor da reclamação expressamente o exija. Como salientei aquando da apreciação da admissibilidade do pedido de decisão prejudicial, resulta dos autos que TR tinha pedido ao HBDI que interviesse contra a Sparkasse e lhe aplicasse coimas. Para corroborar o seu pedido, TR efetuou cálculos a fim de determinar o montante das coimas a aplicar ( 36 ). Segundo parece, esse pedido assenta no entendimento de que o autor de uma reclamação tem um direito subjetivo face à autoridade de controlo de pedir a adoção de uma medida específica. No entanto, como explicarei a seguir, considero que esta posição não tem fundamento jurídico.

76.

Primeiro, a minha análise mostrou que a autoridade de controlo dispõe de um poder discricionário para escolher a medida adequada em cada caso individual. Salvo em circunstâncias particulares suscetíveis de conduzir a uma limitação desse poder discricionário, como a gravidade ou o impacto persistente de uma violação dos dados pessoais — que não me parecem estar reunidas no caso vertente —, a autoridade de controlo mantém esse poder discricionário. Atendendo a que as coimas estão elencadas entre os poderes de correção de que a autoridade de controlo dispõe, ao abrigo do artigo 58.o, n.o 2, do RGPD, é lógico deduzir que este poder discricionário também as abrange. Daqui resulta que não existe nenhuma obrigação de a autoridade de controlo intervir no interesse do autor da reclamação adotando uma determinada medida corretiva.

77.

Segundo, mesmo que as circunstâncias do caso vertente fossem diferentes a ponto de justificar a adoção de uma medida corretiva específica, parece‑me que não se pode sustentar validamente que a aplicação de uma coima seja necessária. À semelhança do Governo Austríaco, considero que há que ter em conta os objetivos pretendidos pelas diversas medidas corretivas enumeradas no artigo 58.o, n.o 2, do RGPD e, particularmente, pela coima. Mais concretamente, parece‑me que a sua natureza jurídica se opõe ao reconhecimento de um direito subjetivo da pessoa em causa no sentido anteriormente referido, uma vez que um dos objetivos desta medida é punir um comportamento considerado contrário ao direito da União. Entendo que, em razão da sua finalidade punitiva, pelo menos em determinadas situações ( 37 ), e tendo em conta que pode apresentar um nível de gravidade elevado, a sanção administrativa é suscetível de revestir natureza penal ( 38 ). Ora, importa lembrar que o direito de punir («ius puniendi») pertence, exclusivamente, ao Estado e aos seus órgãos.

78.

Neste contexto, observe‑se que o artigo 83.o, n.o 1, do RGPD exige, nomeadamente, que a coima seja, em cada caso, «efetiva, proporcionada e dissuasiva». A apreciação da questão de saber se a coima prevista reúne estas condições num determinado caso cabe à autoridade de controlo, que atua sob a sua própria responsabilidade. Incumbe‑lhe decidir se o recurso ao instrumento da coima se impõe num caso específico. Para este efeito, o legislador da União fornece‑lhe um quadro jurídico detalhado. Assim, o artigo 83.o do RGPD estabelece as condições gerais para a aplicação dessas coimas, que são completadas pelas diretrizes de aplicação e fixação de coimas para efeitos do RGPD, elaboradas pela CEPD, em conformidade com o artigo 70.o, n.o 1, alínea k), deste regulamento. A este respeito, importa observar que nenhuma destas regras e diretrizes permite deduzir que o autor de uma reclamação cujos direitos foram violados beneficia de um estatuto jurídico especial que lhe permite pedir à autoridade de controlo que aplique uma coima ao infrator.

79.

É certo que determinados critérios referidos no artigo 83.o, n.o 2, do RGPD — como o nível dos danos sofridos — sugerem que a autoridade de controlo deve também ter em conta a situação do titular dos dados quando adota uma decisão. Todavia, estes critérios não constituem, por si só, um indício suficiente para demonstrar a existência de um direito subjetivo de pedir a aplicação de uma coima. Como decorre de uma interpretação desta disposição, lida a luz do considerando 75 deste regulamento, o objeto dos referidos critérios é facultar à autoridade de controlo elementos úteis que lhe permitam analisar a natureza, a gravidade e a duração da infração e escolher a medida corretiva adequada ( 39 ). Consequentemente, em função de cada caso concreto, diversas medidas corretivas — e não somente uma coima — podem ser consideradas pela autoridade de controlo, sem que o titular dos dados possa exigir a adoção de uma determinada medida. Cabe, exclusivamente, à autoridade de controlo decidir se há que adotar uma medida com o objetivo de restabelecer o cumprimento das regras ou de punir um comportamento ilícito.

80.

Terceiro, também não se pode retirar uma conclusão diferente do facto de o legislador da União ter definido o papel da autoridade de controlo no sistema de sanções estabelecido pelo RGPD inspirado pelos poderes que a Comissão detém em matéria de direito da concorrência ( 40 ). A este respeito, relembre‑se que o poder desta Instituição de aplicar coimas às empresas que cometem infrações, na aceção dos artigos 101.o e 102.o TFUE, constitui um dos meios atribuídos à Comissão para lhe permitir cumprir a missão de vigilância que o direito da União lhe confere ( 41 ). Todavia, convém observar que a Comissão dispõe de um poder discricionário cujo exercício está apenas limitado pelo respeito pelos princípios gerais do direito da União, incluindo o princípio da igualdade de tratamento e o princípio da proporcionalidade ( 42 ). Por outro lado, há que observar que o Regulamento (CE) n.o 1/2003 do Conselho relativo à execução das regras de concorrência ( 43 )não prevê nenhum direito de pedir a imposição de coimas, ao abrigo do seu artigo 23.o, para os queixosos ou terceiros cujos interesses possam ser afetados por uma decisão no âmbito de um procedimento administrativo iniciado pela Comissão ( 44 ), estando esta última, ao abrigo do artigo 27.o deste regulamento, meramente obrigada a deferir os eventuais pedidos de audiência apresentados por estes antes da adoção de uma sanção.

81.

Com base nos elementos expostos, considero que não é possível, no estado atual da evolução do direito da União, concluir que o autor de uma reclamação cujos direitos foram violados dispõe de um direito subjetivo a pedir a aplicação de uma coima. Tal não prejudica a possibilidade de propor a utilização dessa medida corretiva, facultando argumentos e provas para fundamentar a sua opinião. Todavia, a decisão definitiva está abrangida pelo poder discricionário da autoridade de controlo.

82.

Resulta da análise precedente que a autoridade de controlo tem a obrigação de intervir quando constate uma violação de dados pessoais no âmbito da análise de uma reclamação. Particularmente, está obrigada a definir a ou as medidas corretivas mais adequadas para sanar a infração e fazer respeitar os direitos do titular dos dados. A este respeito, o RGPD exige, embora deixando um certo poder discricionário à autoridade de controlo, que essas medidas sejam adequadas, necessárias e proporcionadas. Em determinadas condições, a autoridade de controlo pode não aplicar as medidas referidas no artigo 58.o, n.o 2, deste regulamento em favor de medidas «autónomas» adotadas pelo próprio responsável pelo tratamento. Em qualquer caso, o titular dos dados não tem o direito de exigir que seja tomada uma determinada medida. Estes princípios também se aplicam ao regime das coimas.

83.

Tendo em conta as considerações precedentes, proponho ao Tribunal de Justiça que responda do seguinte modo à questão prejudicial submetida pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha):

O artigo 57.o, n.o 1, alíneas a) e f), e o artigo 58.o, n.o 2, alíneas a) a j), em conjugação com o artigo 77.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

devem ser interpretados no sentido de que:

quando a autoridade de controlo constata a existência de um tratamento de dados que viola os direitos do interessado, está obrigada a intervir nos termos do artigo 58.o, n.o 2, do Regulamento 2016/679 na medida do necessário para assegurar a plena aplicação deste regulamento. A este respeito, está obrigada a selecionar, tendo em conta as circunstâncias concretas de cada caso, o meio adequado, necessário e proporcionado, em particular para sanar a violação e garantir o respeito dos direitos do interessado.