–

em representação de UZ, por J. Leuschner, Rechtsanwalt,

–

em representação do Governo alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

–

em representação do Governo checo, por O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes,

–

em representação do Governo francês, por A.‑L. Desjonquères e J. Illouz, na qualidade de agentes,

–

em representação do Governo austríaco, por A. Posch, M.‑T. Rappersberger e J. Schmoll, na qualidade de agentes,

–

em representação do Governo polaco, por B. Majczyna, na qualidade de agente,

–

em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher e H. Kranenborg, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 5.o, do artigo 17.o, n.o 1, alínea d), do artigo 18.o, n.o 1, alínea b), bem como dos artigos 26.o e 30.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1 e retificação no JO 2018, L 127, p. 2, a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe UZ, nacional de um país terceiro, à Bundesrepublik Deutschland (República Federal da Alemanha), representada pelo Bundesamt für Migration und Flüchtlinge (Serviço Federal para as Migrações e os Refugiados, Alemanha) (a seguir «Serviço Federal»), a respeito do tratamento do pedido de proteção internacional apresentado por este nacional.

3

O considerando 52 da Diretiva 2013/32/UE do Parlamento Europeu e do Conselho, 26 de junho de 2013, relativa a procedimentos comuns de concessão e retirada do estatuto de proteção internacional (reformulação) (JO 2013, L 180, p. 60), tem a seguinte redação:

«O tratamento de dados pessoais feito nos Estados‑Membros para fins da presente diretiva é regido pela Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados [(JO 1995, L 281, p. 31)].»

4

Os considerandos 1, 10, 40, 74, 79 e 82 do RGPD têm a seguinte redação:

[…]

[…]

[…]

[…]

[…]

5

O capítulo I do RGPD, intitulado «Disposições gerais», inclui os artigos 1.o a 4.o

6

Nos termos do artigo 1.o deste regulamento, sob a epígrafe «Objeto e objetivos»:

«1.   O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2.   O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

[…]»

7

O artigo 4.o do referido regulamento, sob a epígrafe «Definições», dispõe nos seus n.os 2, 7 e 21:

[…]

[…]

[…]»

8

O capítulo II do RGPD, intitulado «Princípios», contém os artigos 5.o a 11.o

9

O artigo 5.o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1.   Os dados pessoais são:

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

10

O artigo 6.o do referido regulamento, sob a epígrafe «Licitude do tratamento», estabelece, no seu n.o 1:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

11

O artigo 7.o do RGPD tem por objeto as condições aplicáveis ao consentimento, ao passo que o artigo 8.o do mesmo regulamento estabelece as condições aplicáveis ao consentimento das crianças em relação aos serviços da sociedade da informação.

12

O artigo 9.o deste regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», proíbe o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

13

O artigo 10.o do referido regulamento, sob a epígrafe «Tratamento de dados pessoais relacionados com condenações penais e infrações», diz respeito ao tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.o, n.o 1, do mesmo regulamento.

14

O capítulo III do RGPD, intitulado «Direitos do titular dos dados», contém os artigos 12.o a 23.o

15

O artigo 17.o deste regulamento, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», tem a seguinte redação:

«1.   O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

[…]

[…]

3.   Os n.os 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

[…]

[…]

16

Nos termos do artigo 18.o do referido regulamento, sob a epígrafe «Direito à limitação do tratamento»:

«1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se aplique uma das seguintes situações:

[…]

[…]

2.   Quando o tratamento tiver sido limitado nos termos do n.o 1, os dados pessoais só podem, à exceção da conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado‑Membro.

[…]»

17

O capítulo IV do RGPD, intitulado «Responsável pelo tratamento e subcontratante», contém os artigos 24.o a 43.o

18

Incluído na secção 1 deste capítulo, intitulada «Obrigações gerais», o artigo 26.o deste regulamento, sob a epígrafe «Responsáveis conjuntos pelo tratamento», tem a seguinte redação:

«1.   Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado‑Membro a que […] estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2.   O acordo a que se refere o n.o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3.   Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação [a] e [contra] cada um dos responsáveis pelo tratamento.»

19

O artigo 30.o do referido regulamento, sob a epígrafe «Registo das atividades de tratamento», prevê:

«1.   Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

[…]

4.   O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.

[…]»

20

Incluído no capítulo VI do RGPD, sob a epígrafe «Autoridades de controlo independentes», o artigo 58.o, sob a epígrafe «Poderes», dispõe, no seu n.o 2:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

21

O capítulo VIII deste regulamento, intitulado «Vias de recurso, responsabilidade e sanções», contém os artigos 77.o a 84.o

22

O artigo 77.o do referido regulamento, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», dispõe, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.»

23

O artigo 82.o do RGPD, sob a epígrafe «Direito de indemnização e responsabilidade», estabelece, nos seus n.os 1 e 2:

«1.   Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2.   Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.»

24

O artigo 83.o deste regulamento, sob a epígrafe «Condições gerais para a aplicação de coimas», prevê, nos seus n.os 4, 5 e 7:

«4.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10000000 [euros] ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

[…]

5.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20000000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

[…]

7.   Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados‑Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.»

25

Incluído no capítulo XI do referido regulamento, intitulado «Disposições finais», o artigo 94.o, sob a epígrafe «Revogação da Diretiva 95/46/CE», dispõe:

«1.   A Diretiva 95/46/CE é revogada com efeitos a partir de 25 de maio de 2018.

2.   As remissões para a diretiva revogada são consideradas remissões para [o] presente regulamento. As referências ao Grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da Diretiva 95/46/CE, são consideradas referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.»

26

O § 43 da Bundesdatenschutzgesetz (Lei Federal relativa à Proteção de Dados), de 20 de dezembro de 1990 (BGBl. 1990 I, p. 2954), na sua versão aplicável ao litígio no processo principal (a seguir «BDSG»), sob a epígrafe «Disposições relativas às coimas»), enuncia, no seu n.o 3:

«Não pode ser aplicada qualquer coima às autoridades e outros organismos públicos na aceção do § 2, n.o 1, [BDSG].»

27

Em 7 de maio de 2019, o demandante no processo principal apresentou um pedido de proteção internacional no Serviço Federal, que o indeferiu.

28

Para adotar a sua decisão de indeferimento (a seguir «decisão controvertida»), o Serviço Federal baseou‑se no processo eletrónico «MARIS» elaborado por si, e que continha os dados pessoais relativos ao demandante no processo principal.

29

Este último interpôs recurso da decisão controvertida para o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), que é o órgão jurisdicional de reenvio no presente processo. O processo eletrónico «MARIS» foi então enviado a esse órgão jurisdicional, no âmbito de um procedimento conjunto ao abrigo do artigo 26.o do RGPD, através da caixa de correio eletrónico dos tribunais e da administração (Elektronisches Gerichts‑ und Verwaltungspostfach), que é gerida por um organismo público que faz parte do poder executivo.

30

O órgão jurisdicional de reenvio salienta que resulta do considerando 52 da Diretiva 2013/32 que o tratamento de dados pessoais feito pelos Estados‑Membros no âmbito dos procedimentos de concessão de proteção internacional é regulado pelo RGPD.

31

No entanto, esse órgão jurisdicional duvida que a manutenção do processo eletrónico elaborado pelo Serviço Federal e o envio, ao primeiro, desse processo pela caixa de correio eletrónico dos tribunais e da administração esteja em conformidade com esse regulamento.

32

Por um lado, no que respeita à manutenção do processo eletrónico, não foi demonstrado que o Serviço Federal cumpre as disposições conjugadas do artigo 5.o, n.o 1, e do artigo 30.o do RGPD. Com efeito, apesar de um pedido apresentado para esse efeito pelo órgão jurisdicional de reenvio, o Serviço Federal não disponibilizou um registo das atividades de tratamento completo relativo a esse processo. Ora, esse registo deveria ter sido elaborado no momento do tratamento dos dados pessoais relativos ao demandante no processo principal, a saber, na data da apresentação do seu pedido de proteção internacional. O Serviço Federal deve ser ouvido sobre a questão da sua responsabilidade, nos termos do artigo 5.o, n.o 2, do RGPD, depois de o Tribunal de Justiça se ter pronunciado sobre o presente pedido de decisão prejudicial.

33

Por outro lado, no que respeita à transmissão do processo eletrónico através da caixa de correio eletrónico dos tribunais e da administração, tal transmissão constitui um «tratamento» de dados, na aceção do artigo 4.o, n.o 2, do RGPD, que deve ser conforme com os princípios enunciados no artigo 5.o deste regulamento. Ora, em violação do artigo 26.o do referido regulamento, nenhuma regulamentação nacional regula este procedimento de transmissão entre as autoridades e os órgãos jurisdicionais administrativos definindo as responsabilidades respetivas dos responsáveis conjuntos pelo tratamento e o Serviço Federal não apresentou nenhum acordo nesse sentido, apesar de o órgão jurisdicional de reenvio ter apresentado um pedido para esse efeito. Este último interroga‑se, assim, quanto à questão da licitude dessa transferência de dados através da caixa de correio eletrónico dos tribunais e da administração.

34

Em especial, segundo o órgão jurisdicional de reenvio, importa determinar se a violação das obrigações previstas nos artigos 5.o, 26.o e 30.o do RGPD, das quais decorre a ilicitude do tratamento de dados pessoais, deve ser sancionada com o apagamento desses dados, em conformidade com o artigo 17.o, n.o 1, alínea d), deste regulamento, ou com uma limitação do tratamento, em conformidade com o artigo 18.o, n.o 1, alínea b), do referido regulamento. Tais sanções devem, pelo menos, ser consideradas em caso de pedido do titular dos dados. De outro modo, esse órgão jurisdicional ver‑se‑ia obrigado a participar num tratamento ilícito dos referidos dados no âmbito do processo judicial. Nesse caso, só a autoridade de controlo poderia intervir, em aplicação do artigo 58.o do RGPD, aplicando às autoridades públicas em causa uma coima, ao abrigo do artigo 83.o, n.o 5, alínea a), deste regulamento. No entanto, em conformidade com o § 43, n.o 3, da BDSG, que transpõe o artigo 83.o, n.o 7, do referido regulamento, não pode ser aplicada nenhuma coima a nível nacional às autoridades e outros organismos públicos. Daqui resulta que nem a Diretiva 2013/32 nem o RGPD são respeitados.

35

Por outro lado, o órgão jurisdicional de reenvio considera que o tratamento em causa no processo principal não está abrangido pelo artigo 17.o, n.o 3, alínea e), do RGPD, que permite a utilização de dados pessoais para efeitos de declaração, exercício ou defesa de um direito num processo judicial pelo demandado. É certo que, no caso em apreço, os dados são utilizados pelo Serviço Federal para cumprir, em conformidade com o artigo 17.o, n.o 3, alínea b), deste regulamento, uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado‑Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento. No entanto, se esta disposição fosse aplicada, isso equivaleria a legalizar de forma duradoura uma prática contrária à legislação em matéria de proteção de dados.

36

Por conseguinte, esse órgão jurisdicional pergunta‑se em que medida pode, no âmbito da sua atividade jurisdicional, ter em consideração os dados pessoais fornecidos no âmbito de um processo dessa natureza abrangido pelo poder executivo. Com efeito, se a manutenção do processo eletrónico ou a sua transmissão pela caixa de correio eletrónico dos tribunais e da administração devesse ser qualificada de tratamento ilícito à luz do RGPD, o referido órgão jurisdicional participaria, através dessa tomada em consideração, no tratamento ilícito em causa, o que seria contrário ao objetivo prosseguido por esse regulamento, que consiste em proteger as liberdades e os direitos fundamentais das pessoas singulares, especialmente o seu direito à proteção dos dados pessoais.

37

A este respeito, o órgão jurisdicional de reenvio pergunta‑se ainda se a circunstância de o titular dos dados ter dado o seu consentimento expresso ou de se opor à utilização dos seus dados pessoais no âmbito de um processo judicial é suscetível de influenciar a possibilidade de esses dados serem tomados em consideração. No caso de esse órgão jurisdicional não poder tomar em consideração os dados contidos no processo eletrónico «MARIS» devido às ilegalidades que viciam a manutenção e a transmissão desse processo, não existe nenhuma base jurídica, enquanto se aguarda uma eventual regularização dessas ilegalidades, para tomar uma decisão sobre o pedido do demandante no processo principal destinado a conceder‑lhe o estatuto de refugiado. Consequentemente, o referido órgão jurisdicional deve anular a decisão controvertida.

38

Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

39

Sem suscitar formalmente uma exceção de inadmissibilidade, o Governo alemão manifesta dúvidas quanto à pertinência das questões prejudiciais para a resolução do litígio no processo principal. Antes de mais, resulta da decisão de reenvio que a violação, pelo Serviço Federal, do artigo 5.o, n.o 2, do RGPD não está definitivamente demonstrada, limitando‑se o órgão jurisdicional de reenvio a presumir essa violação. Em seguida, esse órgão jurisdicional apenas referiu os processos do Serviço Federal, ainda que se admita que não estivesse autorizado a utilizá‑los, seriam os únicos decisivos para a solução deste litígio. Com efeito, o órgão jurisdicional dispõe igualmente de outras fontes de informação, as quais, por força do princípio da apreciação oficiosa, devem ser plenamente exploradas quando uma autoridade não apresente nenhum processo ou estes estejam incompletos. Por último, a terceira questão é manifestamente hipotética, uma vez que não resulta da decisão de reenvio que o demandante no processo principal consentiu ou consentiria na exploração do tratamento dos seus dados pessoais pelo órgão jurisdicional de reenvio.

40

Importa recordar que, segundo jurisprudência constante do Tribunal de Justiça, as questões relativas ao direito da União gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, se o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ou se o problema for hipotético. Além disso, no âmbito do processo previsto no artigo 267.o TFUE, que se baseia numa nítida separação de funções entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, o juiz nacional tem competência exclusiva para apurar e apreciar os factos do litígio no processo principal (v., nomeadamente, Acórdão de 24 de março de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, n.os 20 e 21 e jurisprudência referida).

41

Como resulta claramente do segundo parágrafo do artigo 267.o TFUE, no quadro da cooperação estreita entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça, assente numa repartição de funções entre eles, é ao órgão jurisdicional de reenvio que incumbe decidir em que fase do processo deve este órgão jurisdicional colocar uma questão prejudicial ao Tribunal de Justiça (Acórdão de 17 de julho de 2008, Coleman, C‑303/06, EU:C:2008:415, n.o 29 e jurisprudência referida).

42

Em especial, como o Tribunal de Justiça já declarou, a este respeito, que o facto de haver questões de facto ainda não sujeitas a processo contraditório de administração da prova, enquanto tal, não são suscetíveis de levar à inadmissibilidade de uma questão prejudicial (v., neste sentido, Acórdão de 11 de setembro de 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, n.o 19 e jurisprudência referida).

43

Ora, no caso em apreço, embora resulte do pedido de decisão prejudicial que o órgão jurisdicional de reenvio não se pronunciou definitivamente sobre a existência de uma violação, pelo Serviço Federal, das obrigações que lhe incumbem por força do artigo 5.o, n.o 2, do RGPD, lido em conjugação com os artigos 26.o e 30.o deste regulamento, devendo este aspeto do litígio no processo principal ainda, segundo as indicações apresentadas nesse pedido, ser objeto de debate contraditório, não deixa de ser verdade que esse órgão jurisdicional constatou que nem o acordo relativo ao tratamento conjunto dos dados nem os registos das atividades de tratamento, visados por estas duas últimas disposições, não foram apresentados pelo Serviço Federal como responsável pelo tratamento, e isto apesar do pedido que lhe dirigiu para esse efeito.

44

Por outro lado, resulta da decisão de reenvio que, na opinião do referido órgão jurisdicional, ao qual incumbe exclusivamente a tarefa de apurar e apreciar os factos, a decisão controvertida foi adotada apenas com base no processo eletrónico elaborado pelo Serviço Federal, cuja manutenção e transmissão poderiam violar as regras enunciadas pelo referido regulamento, pelo que essa decisão poderia ter de ser anulada por esse motivo.

45

Por último, quanto ao consentimento do demandante no processo principal para a utilização dos seus dados pessoais no âmbito do processo judicial, basta salientar que a terceira questão prejudicial visa precisamente determinar se é necessário, no caso em apreço, que esse consentimento seja expresso para que o órgão jurisdicional de reenvio seja autorizado a tomar esses dados em consideração.

46

Nestas condições, uma vez que ao Tribunal de Justiça foi assim submetido um pedido de interpretação do direito da União que não se pode considerar manifestamente desprovido de ligação com a realidade ou com o objeto do litígio do processo principal e que o Tribunal de Justiça dispõe dos elementos necessários para responder de forma útil às questões que lhe são colocadas, relativas à incidência do RGPD no litígio no processo principal, deve responder‑lhes sem ter de se interrogar sobre a presunção de facto em que se baseou o tribunal de reenvio, presunção essa que caberá a esse tribunal apreciar subsequentemente, se o considerar necessário (v., por analogia, Acórdão de 17 de julho de 2008, Coleman, C‑303/06, EU:C:2008:415, n.o 31 e jurisprudência referida).

47

Por conseguinte, importa considerar que o presente pedido de decisão prejudicial é admissível e responder às questões submetidas pelo órgão jurisdicional de reenvio, entendendo‑se que incumbe, todavia, a este último verificar se o Serviço Federal violou as obrigações previstas nos artigos 26.o e 30.o do RGPD.

48

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.o, n.o 1, alínea d), e o artigo 18.o, n.o 1, alínea b), do RGPD devem ser interpretados no sentido de que a violação, pelo responsável pelo tratamento, das obrigações previstas nos artigos 26.o e 30.o deste regulamento, relativas, respetivamente, à manutenção de um registo das atividades de tratamento e à celebração de um acordo que determina a responsabilidade conjunta do tratamento, constitui um tratamento ilícito que confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento, uma vez que essa violação implica também uma violação, pelo responsável pelo tratamento, do princípio da «responsabilidade» conforme enunciado no artigo 5.o, n.o 2, do referido regulamento.

49

Segundo jurisprudência constante do Tribunal de Justiça, para a interpretação de uma disposição do direito da União, há que ter em conta não só os seus termos mas também o contexto em que se insere e os objetivos da regulamentação de que faz parte (v., neste sentido, nomeadamente, Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.o 32 e jurisprudência referida).

50

No que respeita, em primeiro lugar, à redação das disposições pertinentes do direito da União, importa recordar que, em conformidade com o artigo 17.o, n.o 1, alínea d), do RGPD, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando estes foram «tratados ilicitamente».

51

Do mesmo modo, por força do artigo 18.o, n.o 1, alínea b), do RGPD, se o titular dos dados se opuser ao apagamento desses dados e solicitar, em contrapartida, a limitação da sua utilização, tem o direito de obter do responsável pelo tratamento a limitação do tratamento se o «tratamento for ilícito».

52

As disposições mencionadas nos dois números anteriores devem ser lidas em conjugação com o artigo 5.o, n.o 1, deste regulamento, segundo o qual o tratamento dos dados pessoais devem respeitar um certo número de princípios que estão enunciados nesta disposição, entre os quais o que figura no artigo 5.o, n.o 1, alínea a), do referido regulamento, que especifica que os dados pessoais são objeto «de um tratamento lícito, leal e transparente em relação ao titular dos dados».

53

Nos termos do n.o 2, do artigo 5.o, do RGPD, o responsável pelo tratamento, em conformidade com o princípio da «responsabilidade» enunciado nesta disposição, é responsável pelo cumprimento do disposto no n.o 1 deste artigo e deve poder comprovar que respeita cada um dos princípios enunciados nesse n.o 1, recaindo o ónus da prova sobre este [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais),C‑175/20, EU:C:2022:124, n.os 77, 78 e 81].

54

Daqui resulta que, em aplicação do n.o 2 do artigo 5.o do referido regulamento, lido em conjugação com o n.o 1, alínea a), deste artigo, o responsável pelo tratamento deve assegurar‑se do caráter «lícito» do tratamento de dados que efetua.

55

Ora, há que constatar que a licitude do tratamento é precisamente o objeto, como resulta da sua própria epígrafe, do artigo 6.o do RGPD, que prevê que o tratamento só é lícito se e desde que pelo menos uma das seguintes situações enunciadas no n.o 1, primeiro parágrafo, alíneas a) a f), deste artigo se verifique, a saber, como resulta igualmente do considerando 40 deste regulamento, ou que o titular dos dados tenha dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas, ou a necessidade do tratamento para uma das finalidades visadas, que consistem, respetivamente, na execução de um contrato no qual o titular dos dados é parte ou em diligências pré‑contratuais a pedido do mesmo, no cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, na defesa dos interesses vitais do titular dos dados ou de outra pessoa singular, no exercício de funções de interesse público ou no exercício da autoridade pública de que está investido o responsável pelo tratamento, bem como nos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular.

56

Esta lista de casos em que o tratamento de dados pessoais pode ser considerado lícito é exaustiva e taxativa, pelo que, para ser considerado legítimo, o tratamento deve integrar‑se num dos casos previstos no referido artigo 6.o, n.o 1, primeiro parágrafo, do RGPD [v., neste sentido, Acórdãos de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização),C‑439/19, EU:C:2021:504, n.o 99 e jurisprudência referida, e de 8 de dezembro de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — inquérito penal), C‑180/21, EU:C:2022:967, n.o 83].

57

Assim, segundo a jurisprudência do Tribunal de Justiça, qualquer tratamento de dados pessoais deve ser conforme com os princípios relativos ao tratamento de dados enunciados no artigo 5.o, n.o 1, deste regulamento e cumprir os requisitos de licitude do tratamento enumerados no artigo 6.o do referido regulamento [v., nomeadamente, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 208, de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 96, e de 20 de outubro de 2022, Digi, C‑77/21, EU:C:2022:805, n.os 49 e 56].

58

Por outro lado, uma vez que os artigos 7.o a 11.o do RGPD, que figuram, à semelhança dos seus artigos 5.o e 6.o, no capítulo II deste regulamento, que é relativo aos princípios, têm por objeto precisar o alcance das obrigações que incumbem ao responsável pelo tratamento por força do artigo 5.o, n.o 1, alínea a), e do artigo 6.o, n.o 1, do referido regulamento, o tratamento de dados pessoais, para ser lícito, deve igualmente respeitar, como resulta da jurisprudência do Tribunal de Justiça, essas outras disposições do referido capítulo que dizem respeito, em substância, ao consentimento, ao tratamento de categorias específicas de dados pessoais de caráter sensível e ao tratamento de dados pessoais relativos às condenações penais e às infrações [v., neste sentido, Acórdãos de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, EU:C:2019:773, n.os 72 a 75, e de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.os 100, 102 e 106].

59

Ora, cumpre referir, à semelhança de todos os governos que apresentaram observações escritas e da Comissão Europeia, que o cumprimento, pelo responsável pelo tratamento, da obrigação de celebrar um acordo que determine a responsabilidade conjunta pelo tratamento, prevista no artigo 26.o do RGPD, e da de manter um registo das atividades de tratamento, prevista no artigo 30.o deste regulamento, não figura entre os fundamentos de licitude do tratamento enunciados no artigo 6.o, n.o 1, primeiro parágrafo, do referido regulamento.

60

Além disso, contrariamente aos artigos 7.o a 11.o do RGPD, os artigos 26.o e 30.o deste regulamento não têm por objeto precisar o alcance das exigências enunciadas no artigo 5.o, n.o 1, alínea a), e no artigo 6.o, n.o 1, do referido regulamento.

61

Por conseguinte, deduz‑se da própria redação do artigo 5.o, n.o 1, alínea a), e do artigo 6.o, n.o 1, primeiro parágrafo, do RGPD que a violação por parte do responsável pelo tratamento das obrigações previstas nos artigos 26.o e 30.o deste regulamento não constitui um «[tratamento ilícito]», na aceção do artigo 17.o, n.o 1, alínea d), e do artigo 18.o, n.o 1, alínea b), do referido regulamento, que decorreria da violação por este do princípio da «responsabilidade» como enunciado no artigo 5.o, n.o 2, do mesmo regulamento.

62

Esta interpretação é corroborada, em segundo lugar, pelo contexto em que se inscrevem estas diferentes disposições. Com efeito, resulta claramente da própria estrutura do RGPD e, por conseguinte, da sistemática do mesmo que este distingue entre, por um lado, os «princípios», que são objeto do seu capítulo II, que inclui, nomeadamente, os artigos 5.o e 6.o deste regulamento, e, por outro, as «obrigações gerais», que fazem parte da secção 1 do capítulo IV do referido regulamento relativo aos responsáveis pelo tratamento, entre as quais figuram as obrigações previstas nos artigos 26.o e 30.o do mesmo regulamento.

63

Por outro lado, esta distinção está refletida no capítulo VIII do RGPD relativo às sanções, uma vez que as violações dos artigos 26.o e 30.o deste regulamento, por um lado, e dos seus artigos 5.o e 6.o, por outro, são objeto, respetivamente, nos n.os 4 e 5 do artigo 83.o do referido regulamento, de coimas até um determinado montante, que é diferente consoante o número em causa devido ao nível de gravidade dessas respetivas violações que é reconhecido pelo legislador da União.

64

Em terceiro e último lugar, a interpretação literal do RGPD referida no n.o 61 do presente acórdão é corroborada pelo objetivo prosseguido por este regulamento, resultante do seu artigo 1.o e dos seus considerandos 1 e 10, que consiste, nomeadamente, em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular, do seu direito à vida privada no que diz respeito ao tratamento de dados pessoais, consagrado no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.o, n.o 1, TFUE (v., neste sentido, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.o 125 e jurisprudência referida).

65

Com efeito, a falta de um acordo que determine a responsabilidade conjunta, em aplicação do artigo 26.o do RGPD, ou de um registo das atividades de tratamento, na aceção do artigo 30.o deste regulamento, não basta para demonstrar, por si só, a existência de uma violação do direito fundamental à proteção dos dados pessoais. Em especial, embora seja verdade que, como resulta dos seus considerandos 79 e 82, a clara repartição de responsabilidades entre os responsáveis conjuntos pelo tratamento e o registo das atividades de tratamento constituem meios para garantir o cumprimento, por esses responsáveis, das garantias previstas pelo referido regulamento para a proteção dos direitos e liberdades dos titulares dos dados, não é menos verdade que a falta desse registo ou de tal acordo não demonstra, por si só, que esses direitos e liberdades foram violados.

66

Daqui resulta que uma violação dos artigos 26.o e 30.o do RGPD pelo responsável pelo tratamento não constitui um «[tratamento ilícito]», na aceção do artigo 17.o, n.o 1, alínea d), ou do artigo 18.o, n.o 1, alínea b), deste regulamento, lidos em conjugação com o artigo 5.o, n.o 1, alínea a), e o artigo 6.o, n.o 1, primeiro parágrafo, do mesmo, que conferem ao titular dos dados um direito ao apagamento ou à limitação do tratamento.

67

Como alegaram todos os governos que apresentaram observações escritas e a Comissão, essa violação deve, portanto, ser sanada através do recurso a outras medidas previstas no RGPD, como a adoção, pela autoridade de controlo, de «poderes de correção», na aceção do artigo 58.o, n.o 2, deste regulamento, nomeadamente, nos termos da alínea d) desta disposição, a conformidade das operações de tratamento, a apresentação de reclamação a uma autoridade de controlo, nos termos do artigo 77.o, n.o 1, deste regulamento, ou a indemnização pelo dano eventualmente causado pelo responsável pelo tratamento, ao abrigo do seu artigo 82.o

68

Por último, tendo em conta as preocupações expressas pelo órgão jurisdicional de reenvio, importa ainda especificar que a circunstância de, no caso em apreço, a aplicação de uma coima, por força do artigo 58.o, n.o 2, alínea i), e do artigo 83.o do RGPD, estar excluída uma vez que o direito nacional proíbe essa sanção ao Serviço Federal não é suscetível de impedir uma aplicação efetiva deste regulamento. Com efeito, basta salientar, a este respeito, que o artigo 83.o, n.o 7, do referido regulamento confere expressamente aos Estados‑Membros a faculdade de preverem se e em que medida essas coimas podem ser aplicadas às autoridades ou organismos públicos. De resto, as diferentes medidas alternativas previstas pelo RGPD, recordadas no número anterior, permitem assegurar essa aplicação efetiva.

69

Consequentemente, há que responder à primeira questão que o artigo 17.o, n.o 1, alínea d), e o artigo 18.o, n.o 1, alínea b), do RGPD devem ser interpretados no sentido de que a violação, pelo responsável pelo tratamento, das obrigações previstas nos artigos 26.o e 30.o deste regulamento, relativas, respetivamente, à celebração de um acordo que determina a responsabilidade conjunta do tratamento e à manutenção de um registo das atividades de tratamento, não constitui um tratamento ilícito que confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento, uma vez que essa violação não implica, enquanto tal, uma violação por parte do responsável pelo tratamento do princípio da «responsabilidade» como enunciado no artigo 5.o, n.o 2, do referido regulamento, lido em conjugação com o artigo 5.o, n.o 1, alínea a), e com o artigo 6.o, n.o 1, primeiro parágrafo, deste último.

70

Tendo em conta a resposta dada à primeira questão, não há que responder à segunda.

71

Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o direito da União deve ser interpretado no sentido de que, quando o responsável pelo tratamento de dados pessoais violou as obrigações que lhe incumbem por força dos artigos 26.o ou 30.o do RGPD, a licitude da tomada em consideração desses dados por um órgão jurisdicional nacional está sujeita ao consentimento do titular dos dados.

72

A este respeito, cumpre referir que resulta claramente da própria redação do primeiro parágrafo do n.o 1 do artigo 6.o deste regulamento que o consentimento do titular dos dados, referido na alínea a) deste parágrafo, constitui apenas um dos fundamentos de licitude do tratamento, não sendo esse consentimento, em contrapartida, exigido pelos outros fundamentos de licitude enunciados nas alíneas b) a f) do referido parágrafo, relativos, em substância, à necessidade do tratamento para a realização de determinadas finalidades (v., por analogia, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.o 41).

73

Ora, quando um órgão jurisdicional exerce as competências jurisdicionais que lhe foram conferidas pelo direito nacional, o tratamento de dados pessoais a efetuar por esse órgão jurisdicional deve ser considerado necessário à finalidade enunciada no artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do referido regulamento, relativo ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

74

Uma vez que, por um lado, basta que se verifique uma das situações previstas no artigo 6.o, n.o 1, do RGPD esteja satisfeita para que um tratamento de dados pessoais possa ser considerado lícito, e que, por outro, como se concluiu no n.o 61 do presente acórdão, a violação dos artigos 26.o e 30.o deste regulamento não constitui um tratamento ilícito, a tomada em consideração, pelo órgão jurisdicional de reenvio, de dados pessoais que tenham sido tratados pelo Serviço Federal em violação das obrigações previstas nestes últimos artigos não está sujeita ao consentimento do titular dos dados.

75

Consequentemente, há que responder à terceira questão que o direito da União deve ser interpretado no sentido de que, quando o responsável pelo tratamento de dados pessoais tenha violado as obrigações que lhe incumbem por força dos artigos 26.o ou 30.o do RGPD, a licitude da tomada em consideração desses dados por um órgão jurisdicional nacional não está sujeita ao consentimento do titular dos dados.

76

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara: