1.

O presente reenvio prejudicial confere ao Tribunal de Justiça a possibilidade de se pronunciar sobre as condições em que pode ser aplicada uma coima a uma pessoa coletiva por infração do Regulamento (UE) 2016/679 ( 2 ).

2.

Em especial, procura determinar‑se:

3.

O considerando 74 enuncia:

«Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.»

4.

O considerando 150 tem a seguinte redação:

«A fim de reforçar e harmonizar as sanções administrativas para violações do presente regulamento, as autoridades de controlo deverão ter competência para impor coimas. O presente regulamento deverá definir as violações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes, que deverá ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente, em particular, a natureza, a gravidade e a duração da violação e das suas consequências e as medidas tomadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências da infração. Sempre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.o e 102.o do TFUE para esse efeito. […] O procedimento de controlo da coerência pode ser utilizado igualmente para a promoção de uma aplicação coerente das coimas […].»

5.

O artigo 4.o («Definições») prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]»

6.

O artigo 58.o («Poderes»), n.o 2, dispõe:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

[…]

[…]»

7.

O artigo 83.o («Condições gerais para a aplicação de coimas») tem a seguinte redação:

«1.   Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2.   Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

3.   Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10000000 euros ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado […].

5.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20000000 euros ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

[…]

6.   O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20000000 euros ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

[…]

8.   O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados‑Membros, incluindo o direito à ação judicial e a um processo equitativo.

[…]»

8.

Nos termos do § 9, n.o 1, quando uma pessoa atua na qualidade de a) órgão (ou de membro desse órgão) habilitado a representar uma pessoa coletiva, b) sócio habilitado a representar uma sociedade de pessoas com capacidade jurídica ou c) representante legal de um terceiro, é‑lhe aplicável qualquer lei por força da qual as funções, as relações ou as circunstâncias pessoais específicas justifiquem uma eventual sanção quando essas circunstâncias não se verifiquem no seu caso, mas sim no da pessoa representada.

9.

Por força do § 9, n.o 2, o mesmo se aplica no caso do proprietário de um estabelecimento (empresa) que confie a outra pessoa, no todo ou em parte, a direção do mesmo ou o cumprimento, sob a sua própria responsabilidade, das tarefas que incumbem ao proprietário.

10.

O § 30, n.o 1, permite a aplicação de uma coima a uma pessoa coletiva quando a pessoa singular que a representa, que a dirige ou que é responsável pela sua gestão tenha cometido uma infração penal ou tenha infringido as obrigações que incumbem à pessoa coletiva.

11.

Em conformidade com o § 30, n.o 4 a aplicação de uma sanção autónoma a uma pessoa coletiva exige que não se tenha iniciado qualquer procedimento contra o membro do órgão ou o representante da pessoa coletiva ou, se tal procedimento tiver sido iniciado, que tenha sido arquivado.

12.

Nos termos do § 130, n.o 1, quem, enquanto proprietário de uma exploração ou empresa, se abstiver, intencionalmente ou por negligência, de tomar as medidas de vigilância necessárias para impedir, no âmbito da exploração ou da empresa, a infração das obrigações a que o seu operador está sujeito e cuja violação seja punível com pena ou coima, comete uma contraordenação se essa infração pudesse ter sido impedida ou dificultada por medidas de vigilância adequadas, entre as quais constam a designação, a seleção cuidadosa e a fiscalização dos responsáveis pelos controlos.

13.

A Deutsche Wohnen SE (a seguir «Deutsche Wohnen») é uma empresa imobiliária cotada na bolsa com sede social em Berlim (Alemanha). Detém indiretamente, através de participações, cerca de 163000 unidades habitacionais e 3000 comerciais.

14.

Os proprietários dessas unidades são filiais ligadas à Deutsche Wohnen (holdings) que gerem as atividades operacionais, enquanto a Deutsche Wohnen é responsável pela direção central do grupo. As empresas holding arrendam as unidades habitacionais e comerciais que são geridas por outras sociedades do grupo, as denominadas sociedades de serviços.

15.

No âmbito das suas atividades comerciais, a Deutsche Wohnen e as sociedades do grupo processam dados pessoais dos inquilinos dos imóveis. Esses dados são, nomeadamente, provas de identidade, dados fiscais, de segurança social e de seguro de doença, bem como informações sobre arrendamentos anteriores.

16.

Em 23 de junho de 2017, a Berliner Beauftragte für den Datenschutz (Autoridade Competente em Berlim em Matéria da Proteção de Dados, a seguir «autoridade de proteção de dados»), indicou à Deutsche Wohnen, no âmbito de um controlo in loco, que as sociedades do seu grupo armazenavam dados pessoais dos inquilinos num sistema de arquivo eletrónico relativamente ao qual não era possível determinar se o armazenamento era necessário e se era garantido que os dados que já não eram necessários eram apagados.

17.

A autoridade de proteção de dados solicitou depois à Deutsche Wohnen que eliminasse certos documentos do sistema de arquivo eletrónico até ao final de 2017.

18.

A Deutsche Wohnen recusou‑se a fazê‑lo, alegando que a eliminação não era possível por razões técnicas e legais. Esta objeção foi abordada numa reunião da Deutsche Wohnen com a autoridade encarregada da proteção de dados, durante a qual esta última afirmou que existiam soluções técnicas para o apagamento dos dados. As discussões prosseguiram e a Deutsche Wohnen anunciou que tencionava instituir um novo sistema em substituição do rejeitado pela autoridade de proteção de dados.

19.

Em 5 de março de 2020, a autoridade de proteção de dados realizou uma auditoria na sede do grupo da empresa, durante a qual um total de 16 amostras foram retiradas da base de dados. Simultaneamente, a Deutsche Wohnen informou a autoridade que o sistema de arquivo controvertido já tinha sido desativado e que a migração dos dados para o novo sistema estava iminente.

20.

Em 30 de outubro de 2020, a autoridade de proteção de dados aplicou uma sanção à Deutsche Wohnen por:

21.

As coimas aplicadas foram de 14385000 euros pela violação intencional dos artigos 25.o, n.o 1, e 5.o, n.o 1, alíneas a), c) e e), do RGPD, e de montantes entre 3000 e 17000 euros, pelas 15 violações do artigo 6.o, n.o 1, do RGPD.

22.

A Deutsche Wohnen recorreu das sanções no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha), órgão jurisdicional que decidiu em seu favor.

23.

O Staatsanwaltschaft Berlin (Ministério Público em Berlim, Alemanha) recorreu da decisão da primeira instância no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha), que submete ao Tribunal de Justiça as seguintes questões prejudiciais:

24.

O pedido de decisão prejudicial foi registado no Tribunal de Justiça em 23 de dezembro de 2021.

25.

Apresentaram observações escritas a Deutsche Wohnen, os Governos alemão, estónio e norueguês e a Comissão Europeia.

26.

Em 9 de novembro de 2022, em aplicação do artigo 101.o, n.o 1, do Regulamento de Processo, o Tribunal de Justiça convidou o órgão jurisdicional de reenvio a esclarecer:

27.

Os esclarecimentos prestados foram registados no Tribunal de Justiça em 11 de janeiro de 2023.

28.

Na audiência, realizada em 17 de janeiro de 2023, compareceram, além de quem tinha apresentado observações escritas, o Governo neerlandês, o Parlamento Europeu e o Conselho da União Europeia.

29.

Em substância, a primeira questão submetida pelo órgão jurisdicional de reenvio consiste em saber se, à luz do direito da União, pode ser aplicada uma sanção a uma pessoa coletiva por infração do RGPD sem que seja necessário imputar previamente essa infração a uma pessoa singular.

30.

Todavia, o órgão jurisdicional de reenvio introduziu diversos elementos de complexidade na sua questão:

31.

O órgão jurisdicional de reenvio afirma que a legislação interna só permite a aplicação de coimas às empresas se lhes puderem ser imputadas determinadas contraordenações cometidas (apenas) pelos seus dirigentes com funções de representação ( 5 ).

32.

A Deutsche Wohnen e o Governo alemão discordam desta formulação. Na sua opinião, o § 30 da OWiG deve ser interpretado em conjugação com os §§ 9 e 130, ambos da OWiG, com os quais forma um sistema de sanções coerente. Em conformidade com este sistema, podem ser aplicadas sanções administrativas a uma empresa sem que seja necessário um processo contra a pessoa singular que tenha agido por conta dessa pessoa coletiva ( 6 ).

33.

Tendo sido instado pelo Tribunal de Justiça a pronunciar‑se sobre a eventual incidência do § 130 da OWiG, o órgão jurisdicional de reenvio respondeu que não é pertinente para a primeira questão prejudicial. Para fundamentar a sua posição, alega que:

34.

Estes esclarecimentos demonstram que a primeira das questões prejudiciais do órgão jurisdicional de reenvio corresponde a uma interpretação do direito nacional que, contrariamente à opinião do Governo alemão, acolhe um regime de responsabilidade das pessoas coletivas cujas características poderiam torná‑lo incompatível com o direito da União.

35.

O Tribunal de Justiça tem de respeitar o quadro jurídico nacional conforme este é descrito pelo órgão jurisdicional de reenvio ( 7 ), que é o intérprete autorizado do seu direito interno. As questões relativas à interpretação do direito da União submetidas pelo juiz nacional devem ser apreciadas à luz do quadro regulamentar e factual que o mesmo define sob sua responsabilidade, e cuja exatidão não cabe ao Tribunal de Justiça verificar ( 8 ).

36.

Por conseguinte, com base nestas premissas, abordarei a análise da primeira questão prejudicial.

37.

Segundo o direito da União, não existe nenhuma objeção ao facto de se considerar a Deutsche Wohnen autora da infração e sujeito passivo da sanção aplicada. Essa possibilidade encontra‑se no RGPD, in abstrato, e foi utilizada nesse caso, em concreto:

38.

Quanto à abordagem em abstrato, não são necessárias muitas considerações para confirmar o postulado segundo o qual podem ser impostas sanções diretamente a uma pessoa coletiva enquanto infratora do RGPD. Esse postulado deduz‑se sem dificuldades hermenêuticas da leitura dos artigos 4.o, 58.o e 83.o do RGPD:

39.

Resulta naturalmente do conjunto dessas disposições que o RGPD prevê que as coimas decorrentes da sua infração tenham como eventual destinatário direto uma pessoa coletiva ( 12 ). Essa mesma naturalidade foi assumida pelas autoridades nacionais competentes na matéria, que não hesitaram em punir com coimas, por vezes significativas, as pessoas coletivas que infringiram o RGPD ( 13 ).

40.

Quanto à abordagem em concreto, reitero que a autoridade de proteção de dados se dirigiu à Deutsche Wohnen na sua qualidade de responsável pelo tratamento de dados, ordenando‑lhe que apagasse dos seus arquivos determinados dados pessoais dos inquilinos, instrução que essa empresa ignorou durante um determinado período, até que alterou os seus sistemas de armazenamento.

41.

Segundo o órgão jurisdicional de reenvio, o direito interno exige que, para aplicar diretamente sanções a uma empresa por violação do RGPD, seja previamente estabelecida a responsabilidade de uma pessoa singular. Isto resultaria do § 30 da OWiG: só podem ser aplicadas coimas às empresas se lhes puderem ser imputadas determinadas contraordenações cometidas pelos seus dirigentes com funções de representação, sendo que, para isso, o representante deve ter praticado atos violando ilegal e culposamente a norma que prevê a coima ( 14 ).

42.

Perante a objeção do Governo alemão, que invoca o § 130 da OWiG para fazer face à interpretação do órgão jurisdicional de reenvio, este pronuncia‑se nos termos que já referi ao transcrever a sua resposta ao Tribunal de Justiça ( 15 ). Em resumo, considera que a proteção dos bens jurídicos conferida por essa disposição é muito restrita comparativamente com o regime de responsabilidade que resultaria dos artigos 101.o e 102.o TFUE

43.

Todavia, a regra da declaração prévia de responsabilidade da pessoa singular, invocada pelo órgão jurisdicional de reenvio, não seria aplicável se o artigo 83.o, n.os 4 a 6, do RGPD adotasse, integrando‑o no direito nacional, o «conceito funcional de empresa» característico dos artigos 101.o e 102.o TFUE.

44.

O artigo 83.o, n.os 4 a 6, do RGPD tem por objeto o cálculo do montante das sanções relativas às violações do RGPD aí referidas. Em especial, esses três números preveem a eventualidade de a sanção ser aplicada a uma «empresa».

45.

Neste contexto, compreende‑se a remissão do considerando 150 do RGPD para o conceito de empresa na aceção dos artigos 101.o e 102.o TFUE. Recordo que, para o Tribunal de Justiça, «o direito da concorrência da União visa as atividades das empresas e […] o conceito de empresa abrange qualquer entidade que exerça uma atividade económica, independentemente do seu estatuto jurídico e do seu modo de financiamento» ( 16 ).

46.

Na medida em que o montante máximo das sanções por violação do RGPD é fixado, para as empresas responsáveis pelo tratamento dos dados ou para os subcontratantes, numa percentagem do «volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior», a referência para a determinação desse montante não pode ser conferida pela personalidade jurídica formal de uma sociedade, mas sim pelo conceito de «unidade económica», na aceção acima indicada.

47.

Isto porque, nos termos do artigo 83.o, n.o 1, do RGPD, cada coima prevista nos seus n.os 4 a 6 deve ser «efetiva, proporcionada e dissuasiva». Três características que só podem ser associadas a uma coima cujo montante seja determinado em função da capacidade económica real ou material do seu destinatário. Daí a necessidade de utilizar um conceito material ou económico de «empresa», em vez de recorrer a um conceito estritamente formal, para o cálculo da sanção.

48.

Por conseguinte, a definição real ou material de «empresa», característica do direito da concorrência ( 17 ), é assumida pelo legislador europeu para a determinação do montante das coimas por violação do RGPD. Mas, insisto, é apenas para este efeito que o RGPD evoca esse conceito.

49.

Consequentemente, no presente processo, o conceito de empresa adotado nos artigos 101.o e 102.o TFUE poderia ser relevante para determinar o montante da coima aplicável à Deutsche Wohnen. O facto de se atribuir, ou não, a esta última a qualidade de entidade objeto de sanção (rectius, a autoria da infração), não depende estritamente da aplicação desses dois artigos do TFUE.

50.

Isso não impede que, por analogia, os princípios gerais que regulam o regime das sanções do direito da concorrência (que beneficiam de uma interpretação abundante do Tribunal de Justiça) se apliquem mutatis mutandis em matéria de responsabilidade das pessoas coletivas pelas suas infrações no âmbito da proteção de dados pessoais ( 18 ).

51.

É compatível com o RGPD uma regulamentação nacional que subordine a aplicação de sanções administrativas a pessoas coletivas à ação prévia contra uma pessoa singular?

52.

A natureza do RGPD comporta, além do seu alcance geral, a sua obrigatoriedade e a sua aplicabilidade direta em todos os Estados‑Membros, nos termos do artigo 288.o TFUE. Estas características seriam postas em causa se os Estados‑Membros pudessem afastar‑se da configuração definitiva das prescrições impostas pelo legislador da União no RGPD.

53.

É verdade que, precisamente devido à singularidade e às características do seu objeto, certas disposições do RGPD conferem aos Estados‑Membros uma determinada margem de manobra para manter ou aprovar regras nacionais para especificar algumas dessas disposições. É o que acontece, nomeadamente:

54.

Na minha opinião, essa margem de apreciação estatal, que foi objeto de discussão na audiência, não pode ser alargada ao ponto de reduzir a imputabilidade de uma pessoa coletiva como, segundo o órgão jurisdicional de reenvio, resultaria do § 30 da OWiG.

55.

Tal configuração do regime de responsabilidade das pessoas coletivas permitiria deixar fora do âmbito de aplicação do sistema de sanções do RGPD infrações que, segundo este regulamento, devem ser imputadas a uma pessoa coletiva desde que tenha a qualidade de responsável pelo tratamento ou de subcontratante. Assim aconteceria quando as pessoas singulares que representam, dirigem ou assumem a gestão da pessoa coletiva não tivessem participado nessas infrações.

56.

Na medida em que, repito, uma pessoa coletiva pode ser responsável pelo tratamento de dados e, nessa qualidade, autora das violações do RGPD que lhe sejam imputáveis, a aplicação do § 30 da OWiG poderia conduzir a um enfraquecimento ou a uma redução injustificada do âmbito dos comportamentos passíveis de sanção, que não é conforme com a previsão geral do próprio RGPD.

57.

Uma pessoa coletiva que possa ser qualificada de responsável pelo tratamento de dados pessoais ou de subcontratante deve sofrer as consequências, em termos de sanções, das violações do RGPD cometidas não apenas pelos seus representantes, diretores ou gerentes, mas também pelas pessoas singulares (trabalhadores em sentido amplo) que atuam no âmbito próprio da sua atividade empresarial e sob a supervisão dos primeiros.

58.

Na realidade, essas pessoas singulares conformam e definem a vontade da pessoa coletiva, materializando‑a através de atos específicos e concretos. Atos específicos que, enquanto manifestação in concreto dessa vontade, são imputáveis, em última instância, à própria pessoa coletiva.

59.

Em suma, trata‑se de pessoas singulares que, sem serem propriamente representantes de uma pessoa coletiva, atuam sob a autoridade daqueles que, representando esta última, incorreram na falta de vigilância ou de controlo sobre as primeiras. Em última análise, a imputação acaba por conduzir à própria pessoa coletiva, na medida em que a infração do trabalhador que atua sob a autoridade dos seus órgãos de direção constitui uma falha do sistema de controlo e de vigilância, cuja responsabilidade lhes incumbe de forma direta.

60.

O que precede corresponde à leitura que o órgão jurisdicional de reenvio faz do seu direito interno. Ora, o Governo alemão considera que a aplicação conjugada dos §§ 9, 30 e 130 da OWiG configura um sistema em que podem ser aplicadas sanções por infrações imputadas a pessoas coletivas, cometidas por pessoas singulares sem funções de direção ou de representação dessas pessoas coletivas, sem que seja necessário identificá‑las ( 21 ).

61.

Como já referi, é ao órgão jurisdicional de reenvio que compete interpretar as disposições do seu direito nacional. A resposta à questão de saber se, em conformidade com a jurisprudência nacional e com a doutrina invocadas pelo Governo alemão ( 22 ), essas disposições admitem uma interpretação do direito interno conforme com as exigências do direito da União, tem de ser dada pelos seus órgãos jurisdicionais.

62.

Se essa interpretação fosse contra legem e fosse impossível, devido à estrutura específica do seu sistema nacional de sanções, conferir aplicação plena às regras do RGPD na matéria, o órgão jurisdicional de reenvio teria de afastar a aplicação da norma nacional incompatível com o direito da União, a fim de assegurar o primado do RGPD.

63.

O órgão jurisdicional de reenvio pretende saber se, em conformidade com o artigo 83.o, n.os 4 a 6, do RGPD, «a empresa deve ter atuado culposamente quando foi cometida a infração por um dos seus trabalhadores […], ou é em princípio suficiente, para efeitos de aplicação de uma sanção à empresa, que lhe possa ser imputada uma infração objetiva das obrigações (“strict liability”)» ( 23 ).

64.

A questão assim formulada é de natureza hipotética, o que a torna inadmissível por duas razões.

65.

Em primeiro lugar, segundo o despacho de reenvio, a sanção aplicada à Deutsche Wohnen foi aplicada devido a uma conduta dolosa (deliberada) e não relativamente à simples «infração objetiva» do RGPD. A exposição dos factos acima transcritos demonstra que, de forma consciente e deliberada, essa empresa não cumpriu a ordem da autoridade de proteção de dados e prosseguiu o tratamento dos dados censurado. Para essa qualificação, é irrelevante que tenha alegado um conjunto de dificuldades técnicas e jurídicas no âmbito da alteração dos seus sistemas de tratamento de dados.

66.

Em segundo lugar, convidado pelo Tribunal de Justiça a clarificar a sua questão, o órgão jurisdicional de reenvio indicou que o tribunal de primeira instância não se encontra vinculado pelas conclusões da decisão sancionatória e que, no futuro, esse tribunal poderia pronunciar‑se sobre os fundamentos do recurso contra a sanção. Se ficar convencido da ocorrência da infração, será necessário determinar que tipo de violação teve lugar, o que dependerá da resposta a esta segunda questão prejudicial.

67.

Com base neste esclarecimento, a segunda questão prejudicial volta a revelar a sua natureza hipotética: a decisão sobre a qualificação da conduta não é indispensável para a solução do litígio no órgão jurisdicional de reenvio mas sim, se for caso disso, após a devolução do processo ao tribunal de primeira instância, para que este se pronuncie no futuro.

68.

Em todo o caso, e se o Tribunal de Justiça decidir apreciar o mérito, considero que a resposta a esta questão não depende da interpretação dos n.os 4 a 6 do artigo 83.o do RGPD, que têm por objeto a quantificação das coimas.

69.

O órgão jurisdicional de reenvio distingue entre: a) a infração cometida por um trabalhador de uma pessoa coletiva e b) a existência de intencionalidade ou de negligência, por parte da pessoa coletiva, nessa infração.

70.

Na minha opinião, a «infração cometida por um trabalhador» é, na realidade, e pelas razões expostas no âmbito da primeira questão, uma infração cometida pela pessoa coletiva sob a autoridade da qual esse trabalhador atuou.

71.

Por conseguinte, corretamente formulada, a questão diz respeito à possibilidade de uma pessoa coletiva poder ser objeto de uma sanção pela infração objetiva (sem culpa) das obrigações que lhe incumbem enquanto responsável pelo tratamento de dados ou subcontratante.

72.

Para responder a esta questão, pode ser útil fazer referência à jurisprudência do Tribunal Europeu dos Direitos do Homem (TEDH) relativa ao princípio da legalidade em matéria penal, garantido pelo artigo 7.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (CEDH).

73.

Embora a CEDH não constitua, na falta de adesão da União a esta, um instrumento jurídico formalmente integrado na sua ordem jurídica, do direito da União fazem parte, enquanto princípios gerais, os direitos fundamentais reconhecidos nessa convenção (artigo 6.o, n.o 3, TUE).

74.

Segundo o Tribunal de Justiça, «o artigo 52.o, n.o 3, da Carta, que dispõe que os direitos nela contidos que correspondam aos direitos garantidos pela CEDH têm o mesmo sentido e o mesmo alcance que os que lhes são conferidos pela referida convenção, visa garantir a coerência necessária entre estes direitos respetivos, sem que tal atente contra a autonomia do direito da União e do Tribunal de Justiça» ( 24 ).

75.

Ora, da jurisprudência do TEDH no âmbito da interpretação do artigo 7.o da CEDH constam matizes não inteiramente coincidentes:

76.

Na realidade, a importação das categorias dogmáticas do direito penal (nulla poena sine culpa) para a sua aplicação ao direito administrativo sancionatório suscita dificuldades hermenêuticas significativas. No conceito de culpa (na sua modalidade de negligência) podem incluir‑se situações de simples inobservância de uma disposição legal, quando o seu autor tinha o dever de saber que conduta lhe era exigível.

77.

Sob este ponto de vista, as diversas modalidades de culpa, incluindo as de menor gravidade, e os diferentes tipos de imputação (culpa in vigilando ou culpa in eligendo, por exemplo) poderiam considerar‑se comportamentos que, sob outra perspetiva, algum tribunal qualificaria como situações de responsabilidade objetiva. Por conseguinte, as fronteiras entre as categorias não são tão nítidas no âmbito do direito administrativo sancionatório como parece resultar do despacho de reenvio.

78.

É certo que, no que respeita ao direito da União, o Tribunal de Justiça admitiu, em determinadas situações, um regime que qualifica de responsabilidade objetiva no quadro sancionatório. Fê‑lo, por exemplo, no Acórdão de 22 de março de 2017, Euro‑Team e Spirál‑Gép, nos seguintes termos:

79.

Todavia, essa jurisprudência foi estabelecida em setores diferentes do da proteção de dados, a respeito da infração de obrigações de fazer com conotações preferencialmente formais: estavam em causa sanções aplicadas pela utilização de um troço de autoestrada sem pagar a respetiva portagem ( 29 ), ou pelo não cumprimento das disposições relativas à utilização da folha de registo de um aparelho de controlo de um veículo pesado ( 30 ).

80.

No que respeita às obrigações previstas pelo RGPD, entre as quais figuram as que condicionam o tratamento dos dados (artigo 5.o do RGPD) e a sua licitude (artigo 6.o do RGPD), a apreciação da questão de saber se foram respeitadas implica um processo complexo de ponderação e de julgamento, além da simples declaração de uma infração formal.

81.

Em todo o caso, entendo que o artigo 83.o do RGPD corrobora a exclusão de um regime de responsabilidade objetiva (sem culpa) em matéria de sanções, ou seja, exige a presença de intencionalidade ou de negligência no comportamento objeto de sanção. Na minha opinião, isto resulta de alguns dos seus números:

82.

A tese que acabo de expor poderia não ser viável se, como defendem alguns dos governos intervenientes, a inexistência de previsões explícitas sobre este aspeto no RGPD implicasse que fosse concedida aos Estados‑Membros a possibilidade de optar por um sistema de responsabilidade subjetiva (intencionalidade ou negligência) ou por um sistema que inclua igualmente a responsabilidade objetiva.

83.

Reconheço que a posição desses governos assenta em alguns argumentos: uma vez que o artigo 83.o, n.o 2, do RGPD faz referência à intencionalidade ou à negligência enquanto fatores de fixação do montante da coima, e não enquanto elementos incontornáveis (essenciais) do próprio comportamento infrator, esta disposição permitiria aos Estados‑Membros estabelecerem livremente esses elementos essenciais da infração.

84.

Todavia, à semelhança da Comissão, considero que a leitura correta do sistema de sanções instituído pelo RGPD, cuja vocação de aplicabilidade direta é inegável, milita a favor de uma solução unitária e coerente ( 33 ) para todos os Estados‑Membros e não a favor da possibilidade de cada um deles decidir se as infrações passíveis de sanções devem ou não ser alargadas às que não têm caráter intencional ou negligente.

85.

Na minha opinião, a pertinência da solução unitária (e a inviabilidade da solução divisiva) é corroborada pelos considerandos do RGPD referidos pelo órgão jurisdicional de reenvio no seu pedido de decisão prejudicial, nos quais é reiterada a necessidade de punir as infrações com sanções equivalentes ( 34 ). A equivalência não ocorreria se cada Estado‑Membro pudesse tipificar infrações de natureza diversa, abrangendo as que consistam em simples infrações objetivas sem um elemento intencional ou negligente.

86.

Atendendo ao exposto, proponho que o Tribunal de Justiça responda ao Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha) nos seguintes termos:

«O artigo 58.o, n.o 2, alínea i), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), em conjugação com os artigos 4.o, ponto 7, e 83.o do mesmo regulamento,

deve ser interpretado no sentido de que

a aplicação de uma coima a uma pessoa coletiva responsável pelo tratamento de dados pessoais não está subordinada à determinação prévia da existência de uma infração cometida por uma ou várias pessoas singulares e concretas ao serviço dessa pessoa coletiva.

As coimas que podem ser aplicadas em conformidade com o Regulamento 2016/679 exigem a presença do caráter intencional ou negligente na conduta constitutiva da infração objeto de sanção.»