—

em representação da Meta Platforms Ireland Ltd, por M. Braun, H.‑G. Kamann e V. Wettner, Rechtsanwälte,

—

em representação da Bundesverband der Verbraucherzentralen und Verbraucherverbände —Verbraucherzentrale Bundesverband eV, por P. Wassermann, Rechtsanwalt,

—

em representação do Governo Alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

—

em representação do Governo Português, por P. Barros da Costa, J. Ramos e C. Vieira Guerra, na qualidade de agente,

—

em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher e H. Kranenborg, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 80.o, n.o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), conjugado com o artigo 12.o, n.o 1, primeiro período, e com o artigo 13.o, n.o 1, alíneas c) e e), deste regulamento.

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, com sede social na Irlanda, ao Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (Federação das Associações de Consumidores dos Estados Federados, Alemanha) (a seguir «Federação») a respeito da violação, pela Meta Platforms Ireland, da legislação alemã relativa à proteção de dados pessoais, que constitui, simultaneamente, uma prática comercial desleal, a violação de uma lei em matéria de proteção dos consumidores e a violação da proibição de utilização de cláusulas contratuais gerais nulas.

3

Os considerandos 10, 13, 39, 58, 60 e 142 do RGPD enunciam:

[…]

[…]

[…]

[…]

[…]

4

O artigo 1.o deste regulamento, com a epígrafe «Objeto e objetivos», dispõe, no seu n.o 1:

«O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.»

5

Nos termos do artigo 4.o, pontos 1, 2, 9 e 11, do referido regulamento:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

6

O artigo 5.o do mesmo regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe:

«1.   Os dados pessoais são:

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

7

O artigo 6.o, n.o 1, alínea a), do RGPD, sob a epígrafe «Licitude do tratamento», prevê:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

8

O capítulo III do RGPD, que inclui os artigos 12.o a 23.o, intitula‑se «Direitos do titular dos dados».

9

O artigo 12.o deste regulamento, sob a epígrafe «Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados», estabelece, no seu n.o 1:

«O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.»

10

O artigo 13.o do referido regulamento, sob a epígrafe «Informações a facultar quando os dados pessoais são recolhidos junto do titular», prevê, no seu n.o 1, alíneas c) e e):

«Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:

[…]

[…]

11

O capítulo VIII do mesmo regulamento, que inclui os artigos 77.o a 84.o, intitula‑se «Vias de recurso, responsabilidade e sanções».

12

O artigo 77.o do RGPD, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», dispõe, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.»

13

O artigo 78.o deste regulamento, sob a epígrafe «Direito à ação judicial contra uma autoridade de controlo», preceitua, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.»

14

O artigo 79.o do referido regulamento, sob a epígrafe «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», prevê, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

15

O artigo 80.o do mesmo regulamento, sob a epígrafe «Representação dos titulares dos dados», tem a seguinte redação:

«O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação, exercer os direitos previstos nos artigos 77.o, 78.o e 79.o, e exercer o direito de receber uma indemnização referido no artigo 82.o, se tal estiver previsto no direito do Estado‑Membro.

2.   Os Estados‑Membros podem prever que o organismo, a organização ou a associação referidos no n.o 1 do presente artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado‑Membro direito a apresentar uma reclamação à autoridade de controlo competente nos termos do artigo 77.o e a exercer os direitos a que se referem os artigos 78.o e 79.o, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento.»

16

O artigo 82.o do RGPD, sob a epígrafe «Direito de indemnização e responsabilidade», dispõe, no seu n.o 1:

«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»

17

O artigo 84.o do RGPD, sob a epígrafe «Sanções», preceitua, no seu n.o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo [83.o], e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

18

Nos termos do § 2 do Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) (Lei relativa às Ações Inibitórias em Matéria de Infração aos Direitos dos Consumidores e de Outras Infrações), de 26 de novembro de 2001 (BGB1. 2001 I, p. 3138), na versão aplicável ao litígio no processo principal (a seguir «Lei das Ações Inibitórias»):

«(1)   Quem infringir normas de proteção dos consumidores (leis relativas à proteção dos consumidores), sem ser através da utilização ou recomendação de cláusulas contratuais gerais, pode ser demandado, no interesse da proteção dos consumidores, em ação inibitória e em ação destinada à eliminação dos efeitos produzidos. […]

(2)   São consideradas leis relativas à proteção dos consumidores, na aceção da presente disposição, em especial:

[…]

11. as normas que definem a licitude

19

O Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha) refere que, por força do § 3, n.o 1, primeiro período, ponto 1, da Lei das Ações Inibitórias, os organismos que têm legitimidade ativa, na aceção do § 4 desta lei, podem, por um lado, em conformidade com o § 1 da referida lei, exigir a cessação da utilização de cláusulas contratuais gerais nulas por força do § 307 do Bürgerliches Gesetzbuch (Código Civil alemão) e, por outro, requerer a cessação das violações da legislação em matéria de proteção dos consumidores, na aceção do § 2, n.o 2, da mesma lei.

20

O § 3, n.o 1, do Gesetz gegen den unlauteren Wettbewerb (Lei Contra a Concorrência Desleal), de 3 de julho de 2004 (BGBl. 2004 I, p. 1414), na versão aplicável ao litígio no processo principal (a seguir «Lei contra a Concorrência Desleal»), prevê:

«Consideram‑se ilícitas as práticas comerciais desleais.»

21

O § 3a da Lei contra a Concorrência Desleal tem a seguinte redação:

«Pratica um ato desleal quem infringe uma disposição legal destinada, nomeadamente, a regular o comportamento dos operadores de mercado, quando a infração é suscetível de prejudicar significativamente os interesses de consumidores, de outros operadores de mercado ou dos concorrentes.»

22

O § 8 desta lei estabelece:

«(1)   Quem praticar um ato comercial ilícito nos termos do § 3 ou do § 7 pode ser demandado em ação destinada à eliminação dos efeitos produzidos ou, em caso de risco de repetição, em ação inibitória [abstenção]. […]

[…]

(3)   São titulares dos direitos conferidos pelo n.o 1:

[…]

23

O Bundesgerichtshof (Supremo Tribunal de Justiça Federal) refere que o § 13, n.o 1, do Telemediengesetz (Lei das Telecomunicações), de 26 de fevereiro de 2007 (BGBl. 2007 I, p. 179), era aplicável até à entrada em vigor do RGPD. Após essa data, esta disposição foi substituída pelos §§ 12 a 14 desse regulamento.

24

Nos termos do § 13, n.o 1, primeiro período, da Lei das Telecomunicações:

«O prestador de serviços deve informar o utilizador, de forma compreensível em geral, no início do ato de utilização, sobre o tipo, a extensão e a finalidade da recolha e utilização de dados pessoais e sobre o tratamento dos seus dados em Estados não abrangidos pelo âmbito de aplicação da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), se essa informação ainda não tiver sido prestada.»

25

A Meta Platforms Ireland, que gere a oferta dos serviços da rede social em linha Facebook na União, é responsável pelo tratamento dos dados pessoais dos utilizadores desta rede social na União. A Facebook Germany GmbH, com sede na Alemanha, promove, no endereço Internet www.facebook.de, a venda de espaços publicitários. A plataforma Internet Facebook contém, nomeadamente no endereço Internet www.facebook.de, um espaço denominado «App‑Zentrum» («Centro de Aplicações») no qual a Meta Platforms Ireland põe à disposição dos utilizadores jogos gratuitos fornecidos por terceiros. Quando da consulta desse espaço, o utilizador era informado de que, ao utilizar algumas dessas aplicações, lhes permitia a obtenção de diversos dados pessoais e que as autorizava a proceder à publicação em seu nome de alguns desses dados, como a sua pontuação, bem como, no caso de um dos jogos em causa, o seu estatuto e as suas fotografias. O utilizador era igualmente informado de que, ao utilizar as aplicações em causa, aceitava as condições gerais dessas aplicações e a respetiva política em matéria de proteção de dados.

26

A Federação, organismo com legitimidade ativa ao abrigo do § 4 da Lei das Ações Inibitórias, considerou que as informações prestadas pelas aplicações de jogos em causa no Centro de Aplicações eram desleais, nomeadamente por incumprimento dos requisitos legais para a obtenção do consentimento válido do utilizador nos termos das disposições que regulam a proteção dos dados pessoais. Além disso, considerou que as informações segundo as quais essas aplicações estavam autorizadas a publicar determinados dados pessoais do utilizador em nome deste constituem uma cláusula contratual geral que desfavorece indevidamente o utilizador.

27

Neste contexto, a Federação intentou no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha) uma ação inibitória baseada no § 3a da Lei contra a Concorrência Desleal, no § 2, n.o 2, primeiro período, ponto 11, da Lei das Ações Inibitórias e no Código Civil para que a Meta Platforms Ireland fosse, nomeadamente, proibida de apresentar, no Centro de Aplicações, aplicações de jogo como as que estão em causa. Esta ação foi intentada independentemente da violação concreta do direito à proteção de dados do titular dos dados e sem mandato desse titular.

28

O Landgericht Berlin (Tribunal Regional de Berlim) julgou procedentes os pedidos da Federação. O Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha) negou provimento ao recurso interposto pela Meta Platforms Ireland. A Meta Platforms Ireland interpôs, então, no órgão jurisdicional de reenvio um recurso de «Revision» da decisão adotada pelo órgão jurisdicional de recurso em segunda instância.

29

O órgão jurisdicional de reenvio considerou que a ação da Federação era procedente, dado que a Meta Platforms Ireland tinha violado o § 3a da Lei contra a Concorrência Desleal, bem como o § 2, n.o 2, primeiro período, ponto 11, da Lei das Ações Inibitórias e tinha utilizado uma cláusula contratual geral nula, na aceção do § 1 da Lei das Ações Inibitórias.

30

Todavia, esse órgão jurisdicional teve dúvidas quanto à admissibilidade da ação da Federação. Com efeito, considerou que não era de excluir que a Federação, que tinha efetivamente legitimidade ativa à data da interposição do recurso — com base no § 8, n.o 3, da Lei contra a Concorrência Desleal e no § 3, n.o 1, primeiro período, ponto 1, da Lei das Ações Inibitórias — tivesse perdido essa legitimidade no decurso da instância na sequência da entrada em vigor do RGPD, e, nomeadamente, dos seus artigos 80.o, n.os 1 e 2, e 84.o, n.o 1. Se for esse o caso, o órgão jurisdicional de reenvio deverá conceder provimento ao recurso de «Revision» interposto pela Meta Platforms Ireland e julgar improcedente a ação da Federação, dado que, segundo as disposições processuais pertinentes do direito alemão, a legitimidade ativa deve manter‑se até ao fim da última instância.

31

Assim, por Decisão de 28 de maio de 2020, o Bundesgerichtshof (Supremo Tribunal Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça uma questão prejudicial relativa à interpretação do artigo 80.o, n.os 1 e 2, e do artigo 84.o, n.o 1, do RGPD.

32

No Acórdão de 28 de abril de 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), o Tribunal de Justiça respondeu a essa questão que o artigo 80.o, n.o 2, do RGPD deve ser interpretado no sentido de não se opõe a uma legislação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que lhe tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas, desde que o tratamento dos dados em causa seja suscetível de afetar os direitos conferidos por esse regulamento às pessoas singulares identificadas ou identificáveis.

33

Perante este acórdão, o órgão jurisdicional de reenvio considera que a legitimidade ativa de uma entidade, na aceção do artigo 80.o, n.o 2, do RGPD, não está sujeita ao requisito de que essa entidade proceda à identificação individual prévia do titular dos dados afetado por um tratamento de dados presumidamente contrário às disposições do RGPD. O conceito de «titular dos dados», na aceção do artigo 4.o, ponto 1, deste regulamento, abrange assim não só uma «pessoa singular identificada», mas também uma «pessoa singular identificável», a saber, uma pessoa singular «que possa ser identificada», direta ou indiretamente, por referência a um identificador, como, nomeadamente, um nome, um número de identificação, dados de localização ou um identificador em linha. Nestas condições, a designação de uma categoria ou de um grupo de pessoas afetadas por tal tratamento pode ser suficiente para efeitos da propositura de uma ação coletiva. No caso em apreço, a Federação procedeu à identificação desse grupo ou dessa categoria.

34

Todavia, segundo o órgão jurisdicional de reenvio, o referido acórdão do Tribunal de Justiça não examinou o requisito enunciado no artigo 80.o, n.o 2, do RGPD, segundo a qual, para poder recorrer às vias de recurso previstas neste regulamento, uma associação de defesa dos interesses dos consumidores deve considerar que os direitos do titular dos dados, nos termos do referido regulamento, foram violados «em virtude do tratamento».

35

Por um lado, esse órgão jurisdicional considera que não resulta claramente desse acórdão se uma violação da obrigação decorrente do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do RGPD, de comunicar ao titular dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade do tratamento de dados pessoais e aos destinatários desses dados, constitui uma violação «em virtude do tratamento», e se o conceito de «tratamento», na aceção do artigo 4.o, ponto 2, deste regulamento, engloba situações que precedem a recolha desses dados.

36

Por outro lado, o referido órgão jurisdicional considera que não está claramente demonstrado se, numa situação como a do caso em apreço, a violação da obrigação de informação ocorreu «em virtude» do tratamento de dados pessoais, na aceção do artigo 80.o, n.o 2, do RGPD. A este respeito, sublinha que, embora essa formulação possa dar a entender que a entidade que intenta uma ação coletiva deve, para que essa ação seja admissível, invocar a violação dos direitos do titular dos dados que resulta de uma operação de tratamento de dados pessoais, na aceção do artigo 4.o, ponto 2, deste regulamento, e que é, portanto, posterior a tal operação, o objetivo do referido regulamento de assegurar, nomeadamente, um elevado nível de proteção dos dados pessoais pode militar a favor da extensão da legitimidade ativa dessa entidade em caso de violação da obrigação de informação, mesmo que esta obrigação deva ser cumprida antes de qualquer operação de tratamento de dados pessoais.

37

Nestas circunstâncias, o Bundesgerichtshof (Supremo Tribunal de Justiça Federal) decidiu novamente suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«É invocada a violação [dos direitos do titular dos dados] “em virtude do tratamento” na aceção do artigo 80.o, n.o 2, do RGPD, quando uma associação para proteção dos interesses dos consumidores fundamenta a sua ação no facto de os direitos do titular dos dados terem sido violados por não terem sido cumpridas as obrigações de informação previstas no artigo 12.o, n.o 1, primeiro período, do RGPD, em conjugação com o artigo 13.o, n.o 1, alíneas c) e e), do RGPD, relativas à finalidade do tratamento de dados e ao destinatário dos dados pessoais?»

38

Com a sua questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 80.o, n.o 2, do RGPD deve ser interpretado no sentido de que o requisito segundo o qual uma entidade competente para poder intentar uma ação coletiva ao abrigo desta disposição tem de alegar que considera que os direitos do titular dos dados previstos neste regulamento foram violados «em virtude do tratamento», na aceção da referida disposição, está preenchido quando essa ação se baseia na violação da obrigação que incumbe ao responsável pelo tratamento, por força do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do referido regulamento, de comunicar ao titular dos dados afetados por esse tratamento de dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade desse tratamento de dados, bem como aos destinatários desses dados, o mais tardar no momento da recolha destes.

39

Para responder a esta questão, importa recordar a título preliminar que o RGPD regula, nomeadamente, as vias de recurso que permitem proteger os direitos do titular dos dados quando os dados pessoais que lhe dizem respeito foram objeto de um tratamento alegadamente contrário às disposições deste regulamento. A proteção destes direitos pode, assim, ser reclamada quer diretamente pelo próprio titular dos dados, que tem o direito de apresentar uma reclamação a uma autoridade de controlo de um Estado‑Membro, em conformidade com o artigo 77.o do RGPD, ou propor uma ação nos tribunais nacionais, ao abrigo dos artigos 78.o e 79.o deste regulamento, quer pela entidade competente, com ou sem mandato para esse efeito, ao abrigo do artigo 80.o do referido regulamento.

40

Em especial, o artigo 80.o, n.o 2, do RGPD confere aos Estados‑Membros a possibilidade de preverem um meio processual de ação coletiva contra o autor presumível de uma violação da proteção dos dados pessoais, não havendo mandato do titular dos dados, enunciando simultaneamente um determinado número de requisitos referentes ao âmbito de aplicação pessoal e material que devem ser respeitados para esse efeito (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.o 63).

41

A este respeito, relativamente, em primeiro lugar, ao âmbito de aplicação pessoal desse meio processual, é reconhecida legitimidade ativa a um organismo, a uma organização ou a uma associação que preencha os critérios indicados no artigo 80.o, n.o 1, do RGPD. Em especial, como o Tribunal de Justiça já declarou, uma associação de defesa dos interesses dos consumidores, como a Federação, é suscetível de ser abrangida por este conceito porque prossegue um objetivo de interesse público que consiste em assegurar os direitos e as liberdades dos titulares dos dados na sua qualidade de consumidores, sendo que a realização desse objetivo é suscetível de estar relacionada com a proteção dos dados pessoais desses titulares (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.os 64 e 65).

42

No que respeita, em segundo lugar, ao âmbito de aplicação material do referido meio processual, o exercício da ação coletiva prevista no artigo 80.o, n.o 2, do RGPD por uma entidade que preenche os requisitos mencionados no n.o 1 deste mesmo artigo pressupõe que esta entidade, independentemente de qualquer mandato que lhe tenha sido confiado, considere «que os direitos do titular dos dados, nos termos [deste] regulamento foram violados em virtude do tratamento» (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.o 67).

43

A este propósito, o Tribunal de Justiça esclareceu que o exercício de uma ação coletiva não está, nomeadamente, sujeito à existência de uma «violação concreta» dos direitos conferidos à pessoa pelas regras em matéria de proteção de dados pessoais, pelo que, para reconhecer legitimidade ativa a essa entidade, basta alegar que o tratamento de dados em causa é suscetível de afetar os direitos conferidos às pessoas singulares identificadas ou identificáveis pelo referido regulamento, sem que seja necessário provar um prejuízo real sofrido pelo titular dos dados, numa situação determinada, pela violação dos seus direitos (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.os 70 e 72).

44

No entanto, como o Tribunal de Justiça já declarou, a propositura de uma ação coletiva pressupõe que a entidade visada «considere» que os direitos de um titular dos dados, nos termos do RGPD, foram violados em virtude do tratamento dos seus dados pessoais e, portanto, que alegue «a existência de um tratamento de dados» que entende ser contrário às disposições deste regulamento (v., neste sentido, Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.o 71), não podendo esse tratamento ter um caráter puramente hipotético, como salientou o advogado‑geral no n.o 48 das conclusões.

45

Concretamente, como resulta dos termos do artigo 80.o, n.o 2, do RGPD, a propositura de uma ação coletiva com fundamento nesta disposição implica que a violação dos direitos que este regulamento confere ao titular dos dados ocorra por ocasião do tratamento dos dados pessoais.

46

Esta interpretação é corroborada pela comparação entre as diferentes versões linguísticas do artigo 80.o, n.o 2, do RGPD e também pelo seu considerando 142, que enuncia que as entidades que preenchem os requisitos mencionados no artigo 80.o, n.o 1, deste regulamento devem ter razões para considerar que os direitos do titular dos dados, nos termos do referido regulamento, foram violados por «o tratamento dos dados pessoais violar o [mesmo] regulamento».

47

Feita esta clarificação, para responder à questão prejudicial importa ainda verificar se a violação da obrigação que incumbe ao responsável pelo tratamento, por força do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do RGPD, de comunicar ao titular dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade do tratamento de dados pessoais e aos destinatários desses dados, o mais tardar no momento da recolha desses dados, constitui uma violação dos direitos desse titular «em virtude do tratamento», na aceção do artigo 80.o, n.o 2, do RGPD.

48

A título preliminar, importa recordar que o objetivo prosseguido pelo RGPD, conforme resulta do artigo 1.o e do considerando 10, consiste, nomeadamente, em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular, do seu direito à vida privada no que diz respeito ao tratamento de dados pessoais (v., neste sentido, Acórdão de 7 de março de 2024, IAB Europe, C‑604/22, EU:C:2024:214, n.o 53).

49

Para esse efeito, os capítulos II e III deste regulamento enunciam, respetivamente, os princípios que regem o tratamento de dados pessoais e os direitos do titular dos dados que qualquer tratamento de dados pessoais deve respeitar. Especialmente, e sem prejuízo das derrogações previstas no artigo 23.o do referido regulamento, qualquer tratamento de dados pessoais deve, por um lado, respeitar os princípios relativos ao tratamento desses dados, enunciados no artigo 5.o do mesmo regulamento, e preencher os requisitos de licitude enumerados no seu artigo 6.o, e, por outro, respeitar os direitos do titular dos dados que figuram nos artigos 12.o a 22.o do RGPD [v., neste sentido, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 208, e de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.os 50 e 61 e jurisprudência referida].

50

A este respeito, importa recordar que, nos termos do artigo 5.o, n.o 1, alínea a), do RGPD, os dados pessoais são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados. Além disso, nos termos da alínea b) do n.o 1 deste artigo 5.o, estes dados são recolhidos para finalidades determinadas, explícitas e legítimas, e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades.

51

No que respeita à interpretação do artigo 5.o, n.o 1, alínea b), do RGPD, o Tribunal de Justiça declarou que esta disposição impõe, nomeadamente, que as finalidades do tratamento sejam claramente enunciadas e identificadas, o mais tardar, no momento da recolha dos dados pessoais [Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.os 64 e 65].

52

Além disso, nos termos do artigo 5.o, n.o 2, do RGPD, é sobre o responsável pelo tratamento que recai o ónus da prova de que esses dados são recolhidos, nomeadamente, para finalidades determinadas, explícitas e legítimas e que são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.

53

Por conseguinte, resulta do artigo 5.o do RGPD que o tratamento de dados pessoais deve, nomeadamente, cumprir requisitos concretos em matéria de transparência relativamente ao titular dos dados em causa. Para este efeito, no seu capítulo III, o RGPD, por um lado, prevê obrigações precisas para o responsável pelo tratamento e, por outro, reconhece um conjunto de direitos ao titular dos dados através do tratamento de dados pessoais, entre os quais figura, nomeadamente, o direito de obter do responsável pelo tratamento informações sobre as finalidades desse tratamento e sobre os destinatários concretos a quem os dados pessoais que lhe digam respeito foram ou serão divulgados (Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.o 48).

54

Em especial, o artigo 13.o, n.o 1, alíneas c) e e), do RGPD prevê a obrigação do responsável pelo tratamento, quando os dados pessoais forem recolhidos junto do titular dos dados, de o informar, respetivamente, das finalidades do tratamento a que esses dados se destinam e do fundamento jurídico para o tratamento, bem como dos destinatários ou categorias de destinatários dos referidos dados.

55

Além disso, o artigo 12.o, n.o 1, deste regulamento exige que o responsável pelo tratamento tome as medidas adequadas, nomeadamente, para que as informações referidas no número anterior e que são fornecidas ao titular dos dados sejam concisas, transparentes, inteligíveis e de fácil acesso, e sejam formuladas numa linguagem clara e simples.

56

Como o Tribunal de Justiça declarou, o objetivo do artigo 12.o, n.o 1, do RGPD, que é uma expressão do princípio da transparência, é assegurar que o titular dos dados tem plena compreensão das informações que lhe são transmitidas (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 38).

57

A importância da observância dessa obrigação de informação é igualmente confirmada pelo considerando 60 do RGPD, que enuncia que os princípios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da operação de tratamento de dados e das suas finalidades, sublinhando‑se que o responsável pelo tratamento deverá fornecer ao titular as informações adicionais necessárias para assegurar um tratamento equitativo e transparente tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais forem tratados (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 36).

58

Resulta do exposto, em primeiro lugar, que a obrigação de informação que incumbe ao responsável pelo tratamento relativamente aos titulares dos dados afetados por um tratamento de dados pessoais constitui o corolário do direito à informação reconhecido a esses titulares pelos artigos 12.o e 13.o do RGPD e que faz, assim, parte dos direitos que a ação coletiva prevista no artigo 80.o, n.o 2, deste regulamento visa proteger. Além disso, como resulta dos n.os 56 e 57 do presente acórdão, o cumprimento desta obrigação garante, de forma mais geral, o respeito pelos princípios do tratamento equitativo e transparente, previstos no artigo 5.o, n.o 1, do referido regulamento.

59

Em segundo lugar, como salientou o advogado‑geral no n.o 47 das conclusões, a alegada violação do direito de os titulares dos dados serem suficientemente informados sobre todas as circunstâncias que rodeiam um tratamento de dados pessoais, nomeadamente a sua finalidade e o destinatário desses dados, é suscetível de impedir que exprimam um consentimento «informado», na aceção do artigo 4.o, ponto 11, do RGPD, o que pode tornar esse tratamento ilícito, na aceção do artigo 5.o, n.o 1, deste regulamento.

60

Com efeito, a validade do consentimento dado pelo titular dos dados depende, designadamente, da questão de saber se esse titular obteve previamente as informações à luz de todas as circunstâncias que rodeiam o tratamento dos dados em questão a que tinha direito, nos termos do artigo 12.o, e 13.o do RGPD, e que lhe permitem dar o consentimento com pleno conhecimento de causa.

61

Na medida em que um tratamento de dados pessoais realizado em violação do direito à informação que os artigos 12.o e 13.o do RGPD conferem ao titular dos dados viole os requisitos estabelecidos no artigo 5.o deste regulamento, deve considerar‑se que a violação deste direito à informação constitui uma violação dos direitos do titular dos dados «em virtude do tratamento», na aceção do artigo 80.o, n.o 2, do referido regulamento.

62

Daqui resulta que o direito do titular dos dados afetado pelo tratamento de dados pessoais, decorrente do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do RGPD, de obter do responsável pelo tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade desse tratamento e aos destinatários desses dados, constitui um direito cuja violação permite recorrer ao mecanismo de ação coletiva previsto no artigo 80.o, n.o 2, deste regulamento.

63

Esta interpretação é confirmada, por um lado, pelo objetivo do RGPD, recordado no n.o 48 do presente acórdão, de garantir uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares e, em especial, um elevado nível de proteção do direito de todas as pessoas à vida privada no que diz respeito ao tratamento dos seus dados pessoais.

64

Por outro lado, tal interpretação é igualmente conforme com a função preventiva da ação coletiva prevista no artigo 80.o, n.o 2, do RGPD, levada a cabo por associações de defesa dos interesses dos consumidores, como, no caso em apreço, a Federação (Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.o 76).

65

Tendo em conta o que precede, importa responder à questão prejudicial que o artigo 80.o, n.o 2, do RGPD deve ser interpretado no sentido de que o requisito segundo o qual uma entidade competente para poder intentar uma ação coletiva ao abrigo desta disposição tem de alegar que considera que os direitos do titular dos dados previstos neste regulamento foram violados «em virtude do tratamento», na aceção da referida disposição, está preenchido quando essa entidade alega que a violação dos direitos dessa pessoa ocorre no momento do tratamento dos dados pessoais e que resulta da violação da obrigação que incumbe ao responsável pelo tratamento, por força do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do referido regulamento, de comunicar ao titular dos dados afetados por esse tratamento de dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade do referido tratamento de dados, bem como aos destinatários desses dados, o mais tardar no momento da recolha destes.

66

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quarta Secção) declara:

O artigo 80.o, n.o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

o requisito segundo o qual uma entidade competente para poder intentar uma ação coletiva ao abrigo desta disposição tem de alegar que considera que os direitos do titular dos dados previstos neste regulamento foram violados «em virtude do tratamento», na aceção da referida disposição, está preenchido quando essa entidade alega que a violação dos direitos dessa pessoa ocorre no momento do tratamento dos dados pessoais e que resulta da violação da obrigação que incumbe ao responsável pelo tratamento, por força do artigo 12.o, n.o 1, primeiro período, e do artigo 13.o, n.o 1, alíneas c) e e), do referido regulamento, de comunicar ao titular dos dados afetados por esse tratamento de dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, as informações relativas à finalidade do referido tratamento de dados, bem como aos destinatários desses dados, o mais tardar no momento da recolha destes.