Quadro jurídico

Direito da União

Regulamento (CE) n.o 1/2003

RGPD

Direito alemão

Litígio no processo principal e questões prejudiciais

Quanto às questões prejudiciais

Quanto à primeira e sétima questões

Quanto à segunda questão

Quanto à segunda questão, alínea a)

Quanto à segunda questão, alínea b)

Quanto à terceira a quinta questões

Observações preliminares

Quanto à terceira e quarta questões

Quanto à quinta questão

Quanto à sexta questão

Quanto às despesas

–

em representação da Meta Platforms Inc., anteriormente Facebook Inc., da Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, e da Facebook Deutschland GmbH, por M. Braun, M. Esser, L. Hesse, J. Höft e H.‑G. Kamann, Rechtsanwälte,

–

em representação do Bundeskartellamt, por J. Nothdurft, K. Ost, I. Sewczyk e J. Topel, na qualidade de agentes,

–

em representação da Verbraucherzentrale Bundesverband eV, por S. Louven, Rechtsanwalt,

–

em representação do Governo Alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

–

em representação do Governo Checo, por M. Smolek e J. Vláčil, na qualidade de agentes,

–

em representação do Governo Italiano, por G. Palmieri, na qualidade de agente, assistida por E. De Bonis e P. Gentili, avvocati dello Stato,

–

em representação do Governo Austríaco, por A. Posch, J. Schmoll e G. Kunnert, na qualidade de agentes,

–

em representação da Comissão Europeia, por F. Erlbacher, H. Kranenborg e G. Meessen, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 4.o, n.o 3, TUE, bem como do artigo 6.o, n.o 1, do artigo 9.o, n.os 1 e 2, do artigo 51.o, n.o 1, e do artigo 56.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; retificação no JO 2018, L 127, p. 2; a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Meta Platforms Inc., anteriormente Facebook Inc., a Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, e a Facebook Deutschland GmbH ao Bundeskartellamt (Autoridade Federal da Concorrência, Alemanha), a respeito da decisão deste último de proibir estas sociedades de procederem ao tratamento de certos dados pessoais previsto nas condições gerais de utilização da rede social Facebook (a seguir «condições gerais»).

3

O artigo 5.o do Regulamento (CE) n.o 1/2003 do Conselho, de 16 de dezembro de 2002, relativo à execução das regras de concorrência estabelecidas nos artigos [101.o e 102.o TFUE] (JO 2003, L 1, p. 1), sob a epígrafe «Competência das autoridades dos Estados‑Membros responsáveis em matéria de concorrência», prevê:

«As autoridades dos Estados‑Membros responsáveis em matéria de concorrência têm competência para aplicar, em processos individuais, os artigos [101.o e 102.o TFUE]. Para o efeito, podem, atuando oficiosamente ou na sequência de denúncia, tomar as seguintes decisões:

Sempre que, com base nas informações de que dispõem, não estejam preenchidas as condições de proibição, podem igualmente decidir que não se justifica a sua intervenção.»

4

Os considerandos 1, 4, 38, 42, 43, 46, 47, 49 e 51 do RGPD enunciam:

[…]

[…]

[…]

[…]

[…]

[…]

5

O artigo 4.o deste regulamento prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]

[…]»

6

O artigo 5.o do referido regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe, nos seus n.os 1 e 2:

«1.   Os dados pessoais são:

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

7

O artigo 6.o deste regulamento, sob a epígrafe «Licitude do tratamento», tem a seguinte redação:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

[…]

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

[…]

[…] O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.»

8

O artigo 7.o do RGPD, sob a epígrafe «Condições aplicáveis ao consentimento», prevê:

«1.   Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

[…]

4.   Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.»

9

O artigo 9.o deste regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», dispõe:

«1.   É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2.   O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

[…]

[…]»

10

O artigo 13.o do referido regulamento, relativo às «[i]nformações a facultar quando os dados pessoais são recolhidos junto do titular», prevê, no seu n.o 1, o seguinte:

«Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:

[…]

[…]»

11

O capítulo VI do RGPD, relativo às «[a]utoridades de controlo independentes», inclui os artigos 51.o a 59.o deste regulamento.

12

O artigo 51.o do referido regulamento, sob a epígrafe «Autoridade de controlo», prevê, nos seus n.os 1 e 2:

«1.   Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União […].

2.   As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão [Europeia], nos termos do capítulo VII.»

13

Em conformidade com o artigo 55.o do mesmo regulamento, sob a epígrafe «Competência»:

«1.   As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.

2.   Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.o, n.o 1, alínea c) ou e), é competente a autoridade de controlo do Estado‑Membro em causa. Nesses casos, não é aplicável o artigo 56.o

[…]»

14

O artigo 56.o do RGPD, sob a epígrafe «Competência da autoridade de controlo principal», enuncia, no seu n.o 1:

«Sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o»

15

O artigo 57.o deste regulamento, sob a epígrafe «Atribuições», dispõe, no seu n.o 1:

«Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

[…]

[…]»

16

O artigo 58.o do referido regulamento estabelece, no seu n.o 1, a lista dos poderes de investigação de que dispõe cada autoridade de controlo e precisa, no seu n.o 5, que «[o]s Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento».

17

A secção 1, intitulada «Cooperação», do capítulo VII do RGPD, ele próprio intitulado «Cooperação e coerência», inclui os artigos 60.o a 62.o deste regulamento. O artigo 60.o, relativo à «[c]ooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», prevê, no seu n.o 1:

«A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.»

18

O artigo 61.o do RGPD, sob a epígrafe «Assistência mútua», enuncia, no seu n.o 1:

«As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.»

19

O artigo 62.o deste regulamento, sob a epígrafe «Operações conjuntas das autoridades de controlo», prevê, nos seus n.os 1 e 2:

«1.   As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados‑Membros.

2.   Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados‑Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado‑Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados‑Membros tem direito a participar nas operações conjuntas. […]»

20

A secção 2, intitulada «Coerência», do capítulo VII do RGPD inclui os artigos 63.o a 67.o deste regulamento. O artigo 63.o, sob a epígrafe «Procedimento de controlo da coerência», tem a seguinte redação:

«A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.»

21

Nos termos do artigo 64.o, n.o 2, deste regulamento:

«As autoridades de controlo, o presidente do Comité [Europeu para a Proteção de Dados] ou a Comissão podem solicitar que o Comité [Europeu para a Proteção de Dados] analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado‑Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.o ou de operações conjuntas previstas no artigo 62.o»

22

O artigo 65.o do referido regulamento, sob a epígrafe «Resolução de litígios pelo Comité», prevê, no seu n.o 1:

«A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité [Europeu para a Proteção de Dados] adota uma decisão vinculativa nos seguintes casos:

[…]»

23

O § 19, n.o 1, da Gesetz gegen Wettbewerbsbeschränkungen (Lei sobre Restrições à Concorrência), na versão publicada em 26 de junho de 2013 (BGBl. 2013 I, pp. 1750, 3245), com a última redação que lhe foi dada pelo artigo 2.o da Lei de 16 de julho de 2021 (BGBl. 2021 I, p. 2959) (a seguir «GWB»), dispõe:

«É proibido o abuso de uma posição dominante no mercado por uma ou mais empresas.»

24

Nos termos do § 32, n.o 1, do GWB:

«A autoridade da concorrência pode obrigar as empresas ou associações de empresas a pôr termo à violação de uma disposição desta secção ou dos artigos 101.o ou 102.o do Tratado sobre o Funcionamento da União Europeia.»

25

O § 50f do GWB prevê, no seu n.o 1:

«As autoridades da concorrência, as autoridades reguladoras, o responsável federal pela proteção de dados e a liberdade de informação, os responsáveis regionais pela proteção de dados e as autoridades competentes na aceção do artigo 2.o da EU‑Verbraucherschutzdurchführungsgesetz [(Lei de Execução do Direito de Defesa dos Consumidores da União Europeia)] podem, independentemente do procedimento escolhido, trocar entre si informações, incluindo dados pessoais e segredos comerciais e empresariais, na medida em que tal seja necessário para o cumprimento das respetivas funções, bem como utilizar essas informações no âmbito dos seus procedimentos. […]»

26

A Meta Platforms Ireland gere a oferta da rede social em linha Facebook na União e promove, nomeadamente no endereço www.facebook.com, serviços que são gratuitos para os utilizadores privados. Outras empresas do grupo Meta propõem na União outros serviços em linha, incluindo o Instagram, o WhatsApp, o Oculus e — até 13 de março de 2020 — o Masquerade.

27

O modelo económico da rede social em linha Facebook baseia‑se no financiamento através da publicidade em linha, feita por medida para os utilizadores individuais da rede social em função, nomeadamente, dos seus comportamentos de consumo, dos seus interesses, do seu poder de compra e da sua situação pessoal. Esta publicidade é tecnicamente possível através da criação automatizada de perfis pormenorizados dos utilizadores da rede e dos serviços em linha propostos ao nível do grupo Meta. Para o efeito, além dos dados que esses utilizadores fornecem diretamente aquando do seu registo nos serviços em linha em causa, outros dados relativos aos referidos utilizadores e aos seus aparelhos são igualmente recolhidos, no interior e no exterior dessa rede social e dos serviços em linha prestados pelo grupo Meta, e ligados às suas diferentes contas de utilizador. A síntese global destes dados permite tirar conclusões detalhadas sobre as preferências e os interesses desses mesmos utilizadores.

28

Para o tratamento dos referidos dados, a Meta Platforms Ireland baseia‑se no contrato de utilização a que os utilizadores da rede social Facebook aderem através da ativação do botão «registo» e através do qual estes aceitam as condições gerais estabelecidas por esta sociedade. A aceitação dessas condições é necessária para se poder utilizar a rede social Facebook. No que se refere ao tratamento dos dados pessoais, as condições gerais remetem para as políticas de utilização dos dados e dos testemunhos de conexão (cookies) fixados pela referida sociedade. Ao abrigo destas últimas, a Meta Platforms Ireland recolhe dados relativos aos utilizadores e aos seus aparelhos, a respeito das atividades dos utilizadores dentro e fora da rede social, e cruza esses dados com as contas Facebook dos utilizadores em causa. Quanto a estes últimos dados, relativos às atividades fora da rede social (a seguir também «dados off‑Facebook»), trata‑se, por um lado, dos dados relativos à consulta de páginas Internet e de aplicações de terceiros, que estão ligados ao Facebook através de interfaces de programação — as «Ferramentas Facebook Business» — e, por outro, dos dados relativos à utilização dos outros serviços em linha pertencentes ao grupo Meta, entre os quais o Instagram, o WhatsApp, o Oculus e — até 13 de março de 2020 — o Masquerade.

29

A Autoridade Federal da Concorrência intentou uma ação contra a Meta Platforms, a Meta Platforms Ireland e a Facebook Deutschland, na sequência da qual, por Decisão de 6 de fevereiro de 2019, baseada no § 19, n.o 1, e no § 32 da GWB, as proibiu, em substância, de sujeitar, nas condições gerais, a utilização da rede social Facebook por utilizadores privados residentes na Alemanha ao tratamento dos seus dados off‑Facebook e de proceder, sem o seu consentimento, ao tratamento desses dados com base nas condições gerais então em vigor. Além disso, impôs‑lhes que adaptassem essas condições gerais de modo a delas resultar claramente que os referidos dados não serão recolhidos, cruzados com as contas de utilizadores Facebook nem utilizados sem o consentimento do utilizador em causa, e clarificou o facto de que esse consentimento não é válido quando constitui uma condição para a utilização da rede social.

30

A Autoridade Federal da Concorrência fundamentou a sua decisão no facto de o tratamento dos dados dos utilizadores em causa, conforme previsto nas condições gerais e aplicado pela Meta Platforms Ireland, constituir uma exploração abusiva da posição dominante desta sociedade no mercado das redes sociais em linha para os utilizadores privados na Alemanha, na aceção do § 19, n.o 1, da GWB. Em especial, segundo a Autoridade Federal da Concorrência, essas condições gerais, enquanto emanação dessa posição dominante, são abusivas, uma vez que o tratamento dos dados off‑Facebook nelas previsto não é compatível com os valores subjacentes ao RGPD e, nomeadamente, não pode ser justificado à luz do artigo 6.o, n.o 1, nem do artigo 9.o, n.o 2, deste regulamento.

31

Em 11 de fevereiro de 2019, a Meta Platforms, a Meta Platforms Ireland e a Facebook Deutschland interpuseram recurso da decisão da Autoridade Federal da Concorrência no Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha).

32

Em 31 de julho de 2019, a Facebook Ireland introduziu novas condições gerais indicando expressamente que o utilizador, em vez de pagar pela utilização dos produtos do Facebook, declara consentir os anúncios publicitários.

33

Além disso, desde 28 de janeiro de 2020, a Meta Platforms propõe, a nível mundial, a «Off‑Facebook activity», que permite aos utilizadores da rede social Facebook receberem um resumo das informações que lhes dizem respeito, obtidas pelas sociedades do grupo Meta em relação às suas atividades noutras páginas Internet e aplicações e, se o desejarem, dissociar esses dados da sua conta Facebook, tanto para o passado como para o futuro.

34

O Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf) tem dúvidas, em primeiro lugar, quanto à possibilidade de as autoridades nacionais da concorrência controlarem, no âmbito do exercício das suas competências, a conformidade de um tratamento de dados pessoais com os requisitos estabelecidos no RGPD; em segundo lugar, quanto à possibilidade de um operador de uma rede social em linha tratar os dados pessoais sensíveis do titular dos dados, na aceção do artigo 9.o, n.os 1 e 2, deste regulamento; em terceiro lugar, quanto à licitude do tratamento dos dados pessoais do utilizador em causa por parte desse operador, em conformidade com o artigo 6.o, n.o 1, do referido regulamento; e, em quarto lugar, quanto à validade, à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea a), e do artigo 9.o, n.o 2, alínea a), do mesmo regulamento, do consentimento dado a uma empresa com uma posição dominante no mercado nacional das redes sociais em linha, para efeitos desse tratamento.

35

Neste contexto, por considerar que a solução do litígio no processo principal depende da resposta a estas questões, o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

Em caso de resposta afirmativa à [primeira questão prejudicial]:

Em caso de resposta afirmativa à [sétima questão prejudicial], é necessária a resposta às questões prejudiciais [terceira] a [quinta] no que diz respeito aos dados de utilização do serviço Instagram do mesmo grupo.»

36

Com a primeira e sétima questões, que importa tratar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 51.o e seguintes do RGPD devem ser interpretados no sentido de que uma autoridade da concorrência de um Estado‑Membro pode constatar, no âmbito do exame de um abuso de posição dominante por parte de uma empresa, na aceção do artigo 102.o TFUE, que as condições gerais de utilização dessa empresa relativas ao tratamento de dados pessoais e à sua aplicação não estão em conformidade com o RGPD e, em caso afirmativo, se o artigo 4.o, n.o 3, TUE deve ser interpretado no sentido de que essa constatação, de natureza incidental, pela autoridade da concorrência também é possível quando essas condições estão sujeitas, simultaneamente, a um procedimento de investigação pela autoridade de controlo principal competente, por força do artigo 56.o, n.o 1, do RGPD.

37

Para responder a esta questão, importa começar por recordar que o artigo 55.o, n.o 1, do RGPD estabelece a competência de princípio das autoridades de controlo para prosseguirem as atribuições e exercerem os poderes que lhes são conferidos por este regulamento no território do seu próprio Estado‑Membro (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.o 47 e jurisprudência referida).

38

Entre as atribuições que são conferidas a essas autoridades de controlo figura a de fiscalizar a aplicação do RGPD e de assegurar o seu cumprimento, prevista no artigo 51.o, n.o 1, e no artigo 57.o, n.o 1, alínea a), deste regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Além disso, em conformidade com o artigo 51.o, n.o 2, e o artigo 57.o, n.o 1, alínea g), do referido regulamento, as referidas autoridades de controlo cooperam entre si, incluindo partilhando informações e prestando assistência mútua neste contexto, tendo em vista assegurar a coerência da aplicação e da execução do mesmo regulamento.

39

Para desempenhar estas funções, o artigo 58.o do RGPD confere às referidas autoridades de controlo, no seu n.o 1, poderes de investigação, no seu n.o 2, poderes de correção e, no seu n.o 5, o poder de levar qualquer violação deste regulamento ao conhecimento das autoridades judiciais e, se necessário, de intentar ou intervir em processos judiciais, a fim de fazer aplicar as disposições deste regulamento.

40

Sem prejuízo da regra de competência enunciada no artigo 55.o, n.o 1, do RGPD, o artigo 56.o, n.o 1, deste regulamento prevê, para os tratamentos transfronteiriços na aceção do seu artigo 4.o, ponto 23, um mecanismo de «balcão único», baseado numa repartição de competências entre uma «autoridade de controlo principal» e as outras autoridades de controlo interessadas, bem como numa cooperação entre todas essas autoridades em conformidade com o procedimento de cooperação previsto no artigo 60.o do referido regulamento.

41

Por outro lado, o artigo 61.o, n.o 1, do RGPD obriga nomeadamente as autoridades de controlo a prestarem entre si informações úteis e assistência mútua a fim de executarem e aplicarem este regulamento de forma coerente em toda a União. O artigo 63.o do referido regulamento precisa que foi com este objetivo que foi previsto o procedimento de controlo da coerência, estabelecido nos seus artigos 64.o e 65.o (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.o 52 e jurisprudência referida).

42

Dito isto, importa salientar que as regras de cooperação previstas no RGPD não se destinam às autoridades nacionais da concorrência, mas regulam a cooperação entre as autoridades nacionais de controlo em causa e a autoridade de controlo principal, bem como, se for caso disso, a cooperação destas autoridades com o Comité Europeu para a Proteção de Dados e a Comissão.

43

Com efeito, nem o RGPD nem nenhum outro instrumento do direito da União preveem regras específicas sobre a cooperação entre uma autoridade nacional da concorrência e as autoridades nacionais de controlo competentes ou a autoridade de controlo principal. Além disso, nenhuma disposição deste regulamento proíbe as autoridades nacionais da concorrência de constatarem, no âmbito do exercício das suas funções, a não conformidade com o referido regulamento de um tratamento de dados efetuado por uma empresa em posição dominante e suscetível de constituir um abuso dessa posição.

44

A este respeito, há que precisar, em primeiro lugar, que as autoridades de controlo, por um lado, e as autoridades nacionais da concorrência, por outro, exercem funções diferentes e prosseguem objetivos e funções que lhes são próprios.

45

Efetivamente, por um lado, como indicado no n.o 38 do presente acórdão, por força do artigo 51.o, n.os 1 e 2, e do artigo 57.o, n.o 1, alíneas a) e g), do RGPD, a autoridade de controlo tem por principal função fiscalizar a aplicação deste regulamento e assegurar o seu cumprimento, contribuindo simultaneamente para a sua aplicação coerente na União, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Para o efeito, como recordado no n.o 39 do presente acórdão, a autoridade de controlo dispõe dos diferentes poderes que lhe são conferidos por força do artigo 58.o do RGPD.

46

Por outro lado, em conformidade com o artigo 5.o do Regulamento n.o 1/2003, as autoridades nacionais da concorrência têm competência para tomar, nomeadamente, decisões que constatam um abuso de posição dominante por parte de uma empresa, na aceção do artigo 102.o TFUE, cujo objetivo consiste em estabelecer um regime que garanta que a concorrência não seja falseada no mercado interno, tendo igualmente em conta as consequências desse abuso para os consumidores nesse mercado.

47

Como salientou, em substância, o advogado‑geral no n.o 23 das suas conclusões, no âmbito da adoção de uma decisão desse tipo, uma autoridade da concorrência deve apreciar, com base em todas as circunstâncias concretas do processo, se o comportamento da empresa em posição dominante tem por efeito impedir, através do recurso a meios diferentes dos que regulam a concorrência normal de produtos ou de serviços, a manutenção do grau de concorrência existente no mercado ou o desenvolvimento dessa concorrência (v., neste sentido, Acórdão de 25 de março de 2021, Deutsche Telekom/Comissão, C‑152/19 P, EU:C:2021:238, n.os 41 e 42). A este respeito, a conformidade ou a não conformidade desse comportamento com as disposições do RGPD pode constituir, se for caso disso, um indício importante entre as circunstâncias pertinentes do caso concreto para determinar se esse comportamento constitui um recurso a meios que regulam uma concorrência normal, bem como para avaliar as consequências de uma determinada prática no mercado ou para os consumidores.

48

Daqui resulta que, no âmbito do exame de um abuso de posição dominante por parte de uma empresa num determinado mercado, pode revelar‑se necessário que a autoridade da concorrência do Estado‑Membro em causa examine igualmente a conformidade do comportamento dessa empresa com normas diferentes das abrangidas pelo direito da concorrência, como as regras em matéria de proteção de dados pessoais previstas no RGPD.

49

Ora, tendo em conta os objetivos diferentes prosseguidos pelas regras estabelecidas em matéria de concorrência, em especial, o artigo 102.o TFUE, por um lado, e pelas regras previstas em matéria de proteção de dados pessoais por força do RGPD, por outro, há que declarar que, quando uma autoridade nacional da concorrência assinala uma violação deste regulamento no âmbito da constatação de um abuso de posição dominante, não substitui as autoridades de controlo. Em especial, essa autoridade nacional da concorrência não fiscaliza a aplicação nem assegura o cumprimento deste regulamento com o objetivo referido no artigo 51.o, n.o 1, do mesmo regulamento, a saber, defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados pessoais na União. Além disso, ao limitar‑se a assinalar a não conformidade de um tratamento de dados com o RGPD unicamente para efeitos da constatação de um abuso de posição dominante e ao impor medidas destinadas à cessação desse abuso com fundamento numa base jurídica decorrente do direito da concorrência, tal autoridade não exerce nenhuma das atribuições que figuram no artigo 57.o deste regulamento, nem faz uso dos poderes reservados à autoridade de controlo por força do artigo 58.o do referido regulamento.

50

Por outro lado, importa constatar que o acesso aos dados pessoais e a sua exploração revestem grande importância no âmbito da economia digital. Esta importância é ilustrada, no âmbito do litígio no processo principal, pelo modelo económico em que se baseia a rede social Facebook, que prevê, como recordado no n.o 27 do presente acórdão, o financiamento através da comercialização de anúncios publicitários personalizados em função de perfis de utilizador elaborados com base em dados pessoais recolhidos pela Meta Platforms Ireland.

51

Como sublinhou, nomeadamente, a Comissão, o acesso aos dados pessoais e a possibilidade de tratamento desses dados tornaram‑se um parâmetro importante da concorrência entre empresas da economia digital. Por conseguinte, excluir as regras em matéria de proteção de dados pessoais do quadro jurídico a tomar em consideração pelas autoridades da concorrência quando do exame de um abuso de posição dominante seria desconsiderar a realidade dessa evolução económica e poderia prejudicar a efetividade do direito da concorrência na União.

52

Todavia, em segundo lugar, importa salientar que, na hipótese de uma autoridade nacional da concorrência considerar necessário pronunciar‑se, no âmbito de uma decisão relativa a um abuso de posição dominante, sobre a conformidade ou a não conformidade com o RGPD de um tratamento de dados pessoais efetuado pela empresa em causa, esta autoridade e a autoridade de controlo interessada ou, se for caso disso, a autoridade de controlo principal competente na aceção deste regulamento devem cooperar entre si a fim de assegurar uma aplicação coerente do mesmo regulamento.

53

Com efeito, embora, como salientado nos n.os 42 e 43 do presente acórdão, nem o RGPD nem nenhum outro instrumento do direito da União prevejam regras específicas a este respeito, não deixa de ser verdade que, como salientou, em substância, o advogado‑geral no n.o 28 das suas conclusões, quando aplicam o RGPD, as diferentes autoridades nacionais envolvidas estão todas vinculadas pelo princípio da cooperação leal consagrado no artigo 4.o, n.o 3, TUE. Por força deste princípio, segundo jurisprudência constante, nos domínios abrangidos pelo direito da União, os Estados‑Membros, incluindo as suas autoridades administrativas, devem respeitar‑se e assistir‑se mutuamente no cumprimento das missões decorrentes dos Tratados, tomar todas as medidas adequadas para garantir a execução das obrigações resultantes, nomeadamente, dos atos das instituições da União, bem como abster‑se de qualquer medida suscetível de pôr em perigo a realização dos objetivos da União (v., neste sentido, Acórdãos de 7 de novembro de 2013, UPC Nederland, C‑518/11, EU:C:2013:709, n.o 59, e de 1 de agosto de 2022, Sea Watch, C‑14/21 e C‑15/21, EU:C:2022:604, n.o 156).

54

Assim, tendo em conta este princípio, quando as autoridades nacionais da concorrência são levadas, no exercício das suas competências, a examinar a conformidade de um comportamento de uma empresa com as disposições do RGPD, devem concertar‑se e cooperar lealmente com as respetivas autoridades nacionais de controlo ou com a autoridade de controlo principal, estando então todas estas autoridades obrigadas, neste contexto, a respeitar os respetivos poderes e competências, de modo que as obrigações decorrentes do RGPD e os objetivos deste regulamento sejam cumpridos e o seu efeito útil seja preservado.

55

Com efeito, o exame por uma autoridade da concorrência de um comportamento de uma empresa à luz das normas do RGPD pode implicar o risco de divergências entre esta e as autoridades de controlo quanto à interpretação deste regulamento.

56

Daqui resulta que, quando, no âmbito do exame destinado a constatar a existência de um abuso de posição dominante na aceção do artigo 102.o TFUE por parte de uma empresa, uma autoridade nacional da concorrência considere que é necessário examinar a conformidade de um comportamento dessa empresa com as disposições do RGPD, a referida autoridade deve verificar se esse comportamento ou um comportamento semelhante já foi objeto de uma decisão pela autoridade nacional de controlo competente ou pela autoridade de controlo principal ou ainda pelo Tribunal de Justiça. Se for esse o caso, a autoridade nacional da concorrência não se pode afastar dessa decisão, permanecendo livre de daí retirar as suas próprias conclusões do ponto de vista da aplicação do direito da concorrência.

57

Quando tenha dúvidas sobre o alcance da apreciação feita pela autoridade nacional de controlo competente ou pela autoridade de controlo principal, quando o comportamento em causa ou um comportamento semelhante seja, ao mesmo tempo, objeto de um exame por parte dessas autoridades, ou ainda quando, não tendo as referidas autoridades realizado uma investigação, considere que um comportamento de uma empresa não está em conformidade com as disposições do RGPD, a autoridade nacional da concorrência deve consultar essas autoridades e solicitar a respetiva cooperação, a fim de dissipar as suas dúvidas ou determinar se deve aguardar pela adoção de uma decisão por parte da autoridade de controlo interessada antes de iniciar a sua própria apreciação.

58

Por sua vez, a autoridade de controlo, quando receba um pedido de informação ou de cooperação por parte de uma autoridade nacional de concorrência, deve responder a esse pedido num prazo razoável, comunicando a esta última as informações de que dispõe que possam permitir dissipar as dúvidas dessa autoridade sobre o alcance da apreciação feita pela autoridade de controlo ou, sendo caso disso, informando a autoridade nacional da concorrência se pretende ativar o procedimento de cooperação com as outras autoridades de controlo interessadas ou com a autoridade de controlo principal, em conformidade com os artigos 60.o e seguintes do RGPD, a fim de chegar a uma decisão destinada a constatar a conformidade ou a não conformidade do comportamento em questão com este regulamento.

59

Não respondendo a autoridade nacional de controlo requerida num prazo razoável, a autoridade nacional da concorrência pode prosseguir a sua própria investigação. O mesmo se aplica quando a autoridade nacional de controlo competente e a autoridade de controlo principal não suscitam objeções a que tal investigação prossiga sem aguardar por uma decisão da sua parte.

60

No caso em apreço, resulta dos autos de que o Tribunal de Justiça dispõe que, durante os meses de outubro e novembro de 2018, ou seja, antes da adoção da Decisão de 6 de fevereiro de 2019, a Autoridade Federal da Concorrência contactou o Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Comissário Federal para a Proteção de Dados e a Liberdade de Informação, Alemanha), o Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Comissário para a Proteção de Dados e a Liberdade de Informação de Hamburgo, Alemanha), competente em relação à Facebook Deutschland, e a Data Protection Commission (DPC) (Autoridade de Proteção de Dados, Irlanda), para informar estas autoridades da sua intervenção. Além disso, afigura‑se que a Autoridade Federal da Concorrência obteve a confirmação de que não estava então a ser conduzida nenhuma investigação pelas referidas autoridades relativamente a factos semelhantes aos que estão em causa no processo principal, e estas não suscitaram nenhuma objeção à sua intervenção. Por último, nos n.os 555 e 556 da sua Decisão de 6 de fevereiro de 2019, a Autoridade Federal da Concorrência referiu‑se expressamente a esta cooperação.

61

Nestas condições, e sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, afigura‑se que a Autoridade Federal da Concorrência cumpriu as suas obrigações de cooperação leal com as autoridades nacionais de controlo em causa, bem como com a autoridade de controlo principal.

62

Atendendo às considerações precedentes, há que responder à primeira e sétima questões, que os artigos 51.o e seguintes do RGPD e o artigo 4.o, n.o 3, TUE devem ser interpretados no sentido de que, sob reserva do cumprimento da sua obrigação de cooperação leal com as autoridades de controlo, uma autoridade da concorrência de um Estado‑Membro pode constatar, no âmbito do exame de um abuso de posição dominante por parte de uma empresa, na aceção do artigo 102.o TFUE, que as condições gerais de utilização dessa empresa relativas ao tratamento de dados pessoais e à sua aplicação não estão em conformidade com este regulamento, quando essa constatação seja necessária para demonstrar a existência de tal abuso.

63

À luz desta obrigação de cooperação leal, a autoridade nacional da concorrência não se pode afastar de uma decisão da autoridade nacional de controlo competente ou da autoridade de controlo principal competente relativa a essas condições gerais ou a condições gerais semelhantes. Quando tenha dúvidas a respeito do alcance dessa decisão, quando as referidas condições ou condições semelhantes sejam, ao mesmo tempo, objeto de um exame por parte dessas autoridades, ou ainda quando, não tendo as referidas autoridades realizado uma investigação ou tomado uma decisão, a autoridade da concorrência considerar que as condições em causa não estão em conformidade com o RGPD, a autoridade nacional da concorrência deve consultar essas mesmas autoridades de controlo e solicitar a sua cooperação, para dissipar as suas dúvidas ou para determinar se deve aguardar por uma decisão destas últimas antes de iniciar a sua própria apreciação. Não havendo objeções ou não sendo apresentada resposta num prazo razoável, a autoridade nacional da concorrência pode prosseguir a sua própria investigação.

64

Com a sua segunda questão, alínea a), o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que, no caso de um utilizador de uma rede social em linha consultar sítios Internet ou aplicações relacionados com uma ou várias das categorias referidas nesta disposição e, se for caso disso, neles inserir dados, registando‑se ou efetuando encomendas em linha, o tratamento de dados pessoais pelo operador dessa rede social em linha, que consista na recolha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados resultantes da consulta desses sítios e dessas aplicações, bem como dos dados inseridos pelo utilizador, no cruzamento do conjunto desses dados com a conta da rede social desse utilizador e na utilização dos referidos dados por esse operador, deve ser considerado um «tratamento de categorias especiais de dados pessoais», na aceção da referida disposição, que é em princípio proibido, sob reserva das exceções previstas neste artigo 9.o, n.o 2.

65

Em caso afirmativo, o órgão jurisdicional de reenvio pergunta, em substância, com a sua segunda questão, alínea b), se o artigo 9.o, n.o 2, alínea e), do RGPD deve ser interpretado no sentido de que se considera que, quando um utilizador de uma rede social em linha consulte sítios Internet ou aplicações que têm ligações com as categorias enunciadas no artigo 9.o, n.o 1, do RGPD, introduza dados nesses sítios ou nessas aplicações ou ativa botões de seleção neles integrados, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se nesses sítios ou nessas aplicações utilizando as credenciais de conexão ligadas à sua conta de utilizador da rede social em linha, o seu número de telefone ou o seu endereço de correio eletrónico, tornou manifestamente públicos, na aceção da primeira destas disposições, os dados recolhidos nessa ocasião pelo operador dessa rede social em linha através de cookies ou de tecnologias de registo semelhantes.

66

O considerando 51 do RGPD enuncia que merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Este considerando precisa que esses dados pessoais não deverão ser objeto de tratamento, salvo se essa operação for autorizada em casos específicos definidos no mesmo regulamento.

67

Neste contexto, o artigo 9.o, n.o 1, do RGPD estabelece o princípio da proibição do tratamento relativo às categorias especiais de dados pessoais que menciona. Trata‑se, nomeadamente, de dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas e os dados relativos à saúde, à vida sexual ou à orientação sexual de uma pessoa singular.

68

Para efeitos da aplicação do artigo 9.o, n.o 1, do RGPD, importa verificar, no caso de um tratamento de dados pessoais efetuado pelo operador de uma rede social em linha, se esses dados permitem revelar informações abrangidas por uma das categorias referidas nesta disposição, quer essas informações digam respeito a um utilizador dessa rede ou a qualquer outra pessoa singular. Em caso afirmativo, esse tratamento de dados pessoais é então proibido, sob reserva das derrogações previstas no artigo 9.o, n.o 2, do RGPD.

69

Como salientou, em substância, o advogado‑geral nos n.os 40 e 41 das suas conclusões, esta proibição de princípio, prevista no artigo 9.o, n.o 1, do RGPD, é independente da questão de saber se a informação revelada pelo tratamento em causa é ou não exata e se o responsável pelo tratamento atua com o objetivo de obter informações abrangidas por uma das categorias especiais referidas nesta disposição.

70

Com efeito, tendo em conta os riscos significativos para os direitos e liberdades fundamentais dos titulares dos dados, gerados por qualquer tratamento de dados pessoais abrangidos pelas categorias referidas no artigo 9.o, n.o 1, do RGPD, este tem por objetivo proibir esses tratamentos, independentemente da sua finalidade declarada.

71

No caso em apreço, o tratamento em causa no processo principal efetuado pela Meta Platforms Ireland consiste, antes de mais, na recolha dos dados pessoais dos utilizadores da rede social Facebook quando estes consultam sítios Internet ou aplicações — incluindo os que são suscetíveis de revelar informações abrangidas por uma ou várias das categorias referidas no artigo 9.o, n.o 1, do RGPD — e, se for caso disso, inserem nesses sítios ou nessas aplicações informações registando‑se ou efetuando encomendas em linha, em seguida, no cruzamento desses dados com a conta da rede social desses utilizadores e, por último, na utilização dos referidos dados.

72

A este respeito, caberá ao órgão jurisdicional de reenvio determinar se os dados assim recolhidos, por si só ou através do seu cruzamento com as contas Facebook dos utilizadores em causa, permitem efetivamente revelar tais informações, quer essas informações digam respeito a um utilizador dessa rede ou a qualquer outra pessoa singular. No entanto, tendo em conta as interrogações desse órgão jurisdicional, importa precisar que se afigura, sob reserva das verificações a efetuar por este, que o tratamento dos dados relativos à consulta dos sítios Internet ou das aplicações em questão pode, em certos casos, revelar tais informações, sem que seja necessário que os referidos utilizadores aí insiram informações registando‑se ou efetuando encomendas em linha.

73

Atendendo às considerações precedentes, há que responder à segunda questão, alínea a), que o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que, no caso de um utilizador de uma rede social em linha consultar sítios Internet ou aplicações relacionados com uma ou várias das categorias referidas nesta disposição e, se for caso disso, neles inserir dados, registando‑se ou efetuando encomendas em linha, o tratamento de dados pessoais pelo operador dessa rede social em linha, que consista na recolha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados resultantes da consulta desses sítios e dessas aplicações, bem como dos dados inseridos pelo utilizador, no cruzamento do conjunto desses dados com a conta da rede social desse utilizador e na utilização dos referidos dados por esse operador, deve ser considerado um «tratamento de categorias especiais de dados pessoais», na aceção da referida disposição, que é em princípio proibido, sob reserva das exceções previstas neste artigo 9.o, n.o 2, quando esse tratamento de dados permita revelar informações abrangidas por uma dessas categorias, independentemente de essas informações dizerem respeito a um utilizador dessa rede ou a qualquer outra pessoa singular.

74

No que respeita à segunda questão, alínea b), conforme reformulada no n.o 65 do presente acórdão e relativa à derroração prevista no artigo 9.o, n.o 2, alínea e), do RGPD, há que recordar que, por força desta disposição, a proibição de princípio de qualquer tratamento que incida sobre categorias especiais de dados pessoais, imposta por este artigo 9.o, n.o 1, não se aplica se o tratamento disser respeito a dados pessoais «manifestamente tornados públicos pelo seu titular».

75

A título preliminar, há que salientar que, por um lado, esta derrogação só se aplica aos dados manifestamente tornados públicos «pelo seu titular». Por conseguinte, não é aplicável aos dados relativos a pessoas diferentes da que tornou esses dados públicos.

76

Por outro lado, na medida em que prevê uma exceção ao princípio da proibição do tratamento de categorias especiais de dados pessoais, o artigo 9.o, n.o 2, do RGPD deve ser interpretado de forma restritiva. (v., neste sentido, Acórdãos de 17 de setembro de 2014, Baltic Agro, C‑3/13, EU:C:2014:2227, n.o 24 e jurisprudência referida, e de 6 de junho de 2019, Weil, C‑361/18, EU:C:2019:473, n.o 43 e jurisprudência referida,).

77

Daqui resulta que, para efeitos da aplicação da exceção prevista no artigo 9.o, n.o 2, alínea e), do RGPD, importa verificar se o titular dos dados pretendeu, de forma explícita e através de um ato positivo claro, tornar os dados pessoais em questão acessíveis ao grande público.

78

A este respeito, no que se refere, por um lado, à consulta dos sítios Internet ou das aplicações relacionadas com uma ou várias das categorias referidas no artigo 9.o, n.o 1, do RGPD, importa observar que, com essa consulta, o utilizador em causa não pretende de modo nenhum tornar público o facto de ter consultado esses sítios ou essas aplicações e os dados relativos a essa consulta que podem ser associados à sua pessoa. Com efeito, este pode, quando muito, esperar que o gestor do sítio ou da aplicação tenha acesso a esses dados e que os partilhe, se for caso disso e sob reserva do consentimento explícito dado por esse utilizador, com alguns terceiros e não com o grande público.

79

Assim, não se pode deduzir da mera consulta desses sítios Internet ou dessas aplicações por um utilizador que os referidos dados pessoais foram manifestamente tornados públicos por esse utilizador, na aceção do artigo 9.o, n.o 2, alínea e), do RGPD.

80

Por outro lado, no que respeita às atividades que consistem em inserir dados nos referidos sítios Internet ou nas referidas aplicações, bem como ativar botões de seleção integrados nesses sítios ou nessas aplicações, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se num sítio Internet ou numa aplicação utilizando as credenciais de conexão associadas à sua conta de utilizador Facebook, o seu número de telefone ou o seu endereço de correio eletrónico, há que salientar que essas atividades implicam uma interação entre esse utilizador e o sítio Internet ou a aplicação em questão, e, sendo caso disso, o sítio Internet da rede social em linha, interação cujas formas de publicidade podem variar na medida em que podem ser objeto de uma parametrização individual por parte do referido utilizador.

81

Nestas condições, incumbe ao órgão jurisdicional de reenvio verificar se os utilizadores em causa têm a possibilidade de decidir, com base numa parametrização efetuada com conhecimento de causa, tornar os dados inseridos nos sítios Internet ou nas aplicações em questão, bem como os dados resultantes da ativação dos botões de seleção integrados nesses sítios ou nessas aplicações, acessíveis ao grande público ou, pelo contrário, a um número mais ou menos limitado de pessoas selecionadas.

82

Quando os utilizadores em causa têm efetivamente essa escolha, só se pode considerar que, quando inserem voluntariamente dados num sítio Internet ou numa aplicação ou ativam botões de seleção integrados nesse sítio ou nessa aplicação, tornam manifestamente públicos dados que lhes dizem respeito, na aceção do artigo 9.o, n.o 2, alínea e), do RGPD, no caso de esses utilizadores terem, com base numa parametrização individual efetuada com pleno conhecimento de causa, manifestado claramente a sua escolha de que esses dados sejam tornados acessíveis a um número ilimitado de pessoas, o que incumbe ao órgão jurisdicional de reenvio verificar.

83

Em contrapartida, se essa parametrização individual não for proposta, há que considerar, tendo em conta o exposto no n.o 77 do presente acórdão, que, quando os utilizadores inserem voluntariamente dados num sítio Internet ou numa aplicação ou ativam botões de seleção integrados nesse sítio ou nessa aplicação, devem, para se considerar que tornaram manifestamente públicos esses dados, ter expressamente consentido, com base numa informação expressa fornecida por esse sítio ou por essa aplicação antes dessa inserção ou ativação, que os referidos dados possam ser visualizados por qualquer pessoa que tenha acesso ao referido sítio ou à referida aplicação.

84

Atendendo às considerações precedentes, há que responder à segunda questão, alínea b), que o artigo 9.o, n.o 2, alínea e), do RGPD deve ser interpretado no sentido de que, quando um utilizador de uma rede social em linha consulta sítios Internet ou aplicações relacionadas com uma ou várias das categorias referidas no artigo 9.o, n.o 1, do RGPD, não torna manifestamente públicos, na aceção da primeira destas disposições, os dados relativos a essa consulta, recolhidos pelo operador dessa rede social em linha através de cookies ou de tecnologias de registo semelhantes.

85

Quando insere dados em tais sítios Internet ou em tais aplicações ou quando ativa botões de seleção integrados nesses sítios ou nessas aplicações, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se nesses sítios e nessas aplicações utilizando as credenciais de conexão associadas à sua conta de utilizador da rede social, o seu número de telefone ou o seu endereço de correio eletrónico, esse utilizador só torna manifestamente públicos, na aceção deste artigo 9.o, n.o 2, alínea e), os dados assim inseridos ou resultantes da ativação desses botões no caso de ter manifestado expressamente a sua escolha prévia, eventualmente com base numa parametrização individual efetuada com pleno conhecimento de causa, de tornar os dados que lhe dizem respeito publicamente acessíveis a um número ilimitado de pessoas.

86

Com a terceira e quarta questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pretende saber, em substância, se e em que condições o artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) e f), do RGPD deve ser interpretado no sentido de que o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consiste na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização desses dados, pode ser considerado necessário para a execução de um contrato no qual os titulares dos dados sejam partes, na aceção da alínea b), ou para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, na aceção da alínea f). Esse órgão jurisdicional interroga‑se, nomeadamente, sobre se, para esse efeito, determinados interesses que refere expressamente constituem um «interesse legítimo» na aceção desta última disposição.

87

Com a sua quinta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) a e), do RGPD deve ser interpretado no sentido de que tal tratamento de dados pessoais pode ser considerado necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento está sujeito, na aceção da alínea c), para a salvaguarda dos interesses vitais do titular dos dados ou de outra pessoa singular, na aceção da alínea d), ou para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, na aceção da alínea e), no caso de esse tratamento ser efetuado, respetivamente, para dar resposta a um pedido legítimo de certos dados, impedir comportamentos lesivos e promover a segurança, para efeitos de investigação para o bem‑estar da sociedade e para a promoção da proteção, da integridade e da segurança.

88

A título preliminar, há que observar, primeiro, que a terceira a quinta questões são submetidas pelo facto de, segundo as conclusões da Autoridade Federal da Concorrência, na sua Decisão de 6 de fevereiro de 2019, não se poder considerar que os utilizadores da rede social Facebook deram o seu consentimento para o tratamento dos seus dados em causa no processo principal, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea a), e do artigo 9.o, n.o 2, alínea a), do RGPD. Por conseguinte, é neste contexto que o órgão jurisdicional de reenvio, ao mesmo tempo que interroga o Tribunal de Justiça com a sua sexta questão em relação a esta premissa, considera que deve verificar se esse tratamento corresponde a uma das outras condições de licitude previstas neste artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) a f), deste regulamento.

89

Neste contexto, importa salientar que as operações de recolha, cruzamento e utilização dos dados, referidas na terceira a quinta questões, podem englobar simultaneamente dados sensíveis, na aceção do artigo 9.o, n.o 1, do RGPD, e dados não sensíveis. Ora, há que especificar que, no caso de um conjunto de dados que contêm simultaneamente dados sensíveis e dados não sensíveis ser objeto dessas operações e ser nomeadamente recolhido em bloco sem que os dados possam ser dissociados uns dos outros no momento dessa recolha, o tratamento deste conjunto de dados deve ser considerado proibido, na aceção do artigo 9.o, n.o 1, do RGPD, uma vez que contém pelo menos um dado sensível e não é aplicável nenhuma das exceções previstas no artigo 9.o, n.o 2, do RGPD.

90

Segundo, para responder à terceira a quinta questões, importa recordar que o artigo 6.o, n.o 1, primeiro parágrafo, do RGPD prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, um tratamento deve ser abrangido por um dos casos previstos nesta disposição [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização),C‑439/19, EU:C:2021:504, n.o 99 e jurisprudência referida].

91

Nos termos do artigo 6.o, n.o 1, primeiro parágrafo, alínea a), deste regulamento, o tratamento de dados pessoais é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para uma ou mais finalidades específicas.

92

Não tendo esse consentimento sido prestado, ou quando esse consentimento não tenha sido dado de forma livre, específica, informada e inequívoca na aceção do artigo 4.o, ponto 11, do RGPD, esse tratamento é, não obstante, justificado quando cumpre um dos requisitos de necessidade mencionados no artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) a f), deste regulamento.

93

Neste contexto, as justificações previstas nesta última disposição, na medida em que permitem tornar lícito um tratamento de dados pessoais efetuado sem o consentimento do titular dos dados, devem ser objeto de uma interpretação restritiva [v., neste sentido, Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.o 73 e jurisprudência referida].

94

Além disso, como o Tribunal de Justiça declarou, quando seja possível constatar que um tratamento de dados pessoais é necessário à luz de uma das justificações previstas no artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) a f), do RGPD, não há que determinar se esse tratamento está igualmente abrangido por outra dessas justificações (v., neste sentido, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.o 71).

95

Por último, importa precisar que, nos termos do artigo 5.o do RGPD, é sobre o responsável pelo tratamento que recai o ónus de provar que esses dados são recolhidos, nomeadamente, para finalidades determinadas, explícitas e legítimas e que são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados. Por outro lado, em conformidade com o artigo 13.o, n.o 1, alínea c), deste regulamento, quando os dados pessoais forem recolhidos junto do titular dos dados, incumbe ao responsável pelo tratamento informá‑lo das finalidades do tratamento a que os dados pessoais se destinam, bem como do fundamento jurídico para esse tratamento.

96

Embora caiba ao órgão jurisdicional de reenvio determinar se os diferentes elementos do tratamento em causa no processo principal são justificados por uma ou outra das necessidades referidas no artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) a f), do RGPD, o Tribunal de Justiça pode, no entanto, fornecer‑lhe indicações úteis para lhe permitir decidir o litígio que lhe foi submetido.

97

No que se refere, em primeiro lugar, ao artigo 6.o, n.o 1, primeiro parágrafo, alínea b), do RGPD, este prevê que o tratamento de dados pessoais é lícito se for «necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados».

98

A este respeito, para que um tratamento de dados pessoais seja considerado necessário para a execução de um contrato, na aceção desta disposição, deve ser objetivamente indispensável para realizar uma finalidade que faça parte integrante da prestação contratual destinada ao titular dos dados. O responsável pelo tratamento deve, assim, estar em condições de demonstrar de que forma o objeto principal do contrato não poderia ser alcançado sem o tratamento em causa.

99

O facto de esse tratamento ser mencionado no contrato ou de ser apenas útil para a sua execução é, por si só, desprovido de pertinência a este respeito. Com efeito, o elemento determinante para efeitos da aplicação da justificação prevista no artigo 6.o, n.o 1, primeiro parágrafo, alínea b), do RGPD é que o tratamento de dados pessoais efetuado pelo responsável pelo tratamento seja necessário para permitir a execução correta do contrato celebrado entre este e o titular dos dados e, deste modo, que não existam outras soluções exequíveis e menos intrusivas.

100

A este propósito, como salientou o advogado‑geral no n.o 54 das suas conclusões, quando o contrato consista em vários serviços ou elementos distintos de um mesmo serviço que podem ser executados independentemente uns dos outros, a aplicabilidade do artigo 6.o, n.o 1, alínea b), do RGPD deve ser avaliada no contexto de cada um desses serviços separadamente.

101

No caso em apreço, no contexto das justificações que podem ser abrangidas pelo âmbito de aplicação desta disposição, o órgão jurisdicional de reenvio faz referência, enquanto elementos destinados a assegurar a execução adequada do contrato celebrado entre a Meta Platforms Ireland e os seus utilizadores, à personalização dos conteúdos e à utilização contínua e ininterrupta dos serviços próprios do grupo Meta.

102

No que concerne, primeiro, à justificação relativa à personalização dos conteúdos, importa salientar que, embora essa personalização seja útil para o utilizador, na medida em que lhe permite nomeadamente visualizar um conteúdo que corresponde em ampla medida aos seus interesses, não é menos verdade que, sob reserva de verificação a efetuar pelo órgão jurisdicional de reenvio, a personalização dos conteúdos não se afigura necessária para proporcionar a esse utilizador os serviços da rede social em linha. Esses serviços podem, eventualmente, ser‑lhe prestados sob a forma de uma alternativa equivalente que não implique essa personalização, pelo que esta última não é objetivamente indispensável a uma finalidade que faça parte integrante dos mesmos serviços.

103

No que respeita, segundo, à justificação relativa à utilização contínua e ininterrupta dos serviços próprios do grupo Meta, resulta dos autos de que o Tribunal de Justiça dispõe que uma pessoa não é obrigada a subscrever os diferentes serviços propostos pelo grupo Meta para poder criar uma conta de utilizador na rede social Facebook. Com efeito, os diferentes produtos e serviços propostos pelo grupo podem ser utilizados independentemente uns dos outros e a utilização de cada produto ou serviço baseia‑se na subscrição de um contrato de utilização distinto.

104

Por conseguinte, e sob reserva de verificação pelo órgão jurisdicional de reenvio, um tratamento de dados pessoais provenientes de serviços diferentes do serviço da rede social em linha propostos pelo grupo Meta não se afigura necessário para permitir a prestação deste último serviço.

105

Em segundo lugar, no que se refere ao artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, este prevê que o tratamento de dados pessoais só é lícito se e na medida em que «for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança».

106

Como o Tribunal de Justiça já declarou, esta disposição prevê três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber, primeiro, a prossecução de interesses legítimos pelo responsável pelo tratamento ou por terceiros, segundo, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e, terceiro, o requisito de os interesses ou direitos e liberdades fundamentais da pessoa a que a proteção de dados diz respeito não prevalecerem sobre o interesse legítimo do responsável pelo tratamento ou de um terceiro (Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.o 106 e jurisprudência referida).

107

No que respeita, primeiro, ao requisito relativo à prossecução de um interesse legítimo, há que precisar que, em conformidade com o artigo 13.o, n.o 1, alínea d), do RGPD, incumbe ao responsável pelo tratamento, no momento em que os dados pessoais relativos a um titular dos dados são recolhidos junto desse titular, indicar‑lhe os interesses legítimos prosseguidos, se esse tratamento se basear no artigo 6.o, n.o 1, primeiro parágrafo, alínea f), deste regulamento.

108

No que se refere, segundo, ao requisito relativo à necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido, este impõe ao órgão jurisdicional de reenvio que verifique se o interesse legítimo do tratamento dos dados prosseguido não pode ser razoavelmente alcançado de modo igualmente eficaz através de outros meios menos lesivos das liberdades e dos direitos fundamentais dos titulares dos dados, em especial dos direitos ao respeito pela vida privada e à proteção dos dados pessoais garantidos pelos artigos 7.o e 8.o da Carta [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 110 e jurisprudência referida].

109

Neste contexto, há igualmente que recordar que o requisito relativo à necessidade do tratamento deve ser examinado conjuntamente com o denominado princípio da «minimização dos dados» consagrado no artigo 5.o, n.o 1, alínea c), do RGPD, segundo o qual os dados pessoais devem ser «adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados» (v., neste sentido, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.o 48).

110

Relativamente, terceiro, ao requisito de que os interesses ou as liberdades e os direitos fundamentais do titular dos dados não prevaleçam sobre o interesse legítimo do responsável pelo tratamento ou de um terceiro, o Tribunal de Justiça já declarou que este implica uma ponderação dos direitos e dos interesses opostos em causa que depende, em princípio, das circunstâncias concretas do caso específico e que, por conseguinte, cabe ao órgão jurisdicional de reenvio efetuar essa ponderação tendo em conta essas circunstâncias específicas (Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.o 111 e jurisprudência referida).

111

A este respeito, resulta do próprio texto do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD que é necessário, no âmbito dessa ponderação, prestar especial atenção à situação em que o titular dos dados é uma criança. Com efeito, nos termos do considerando 38 deste regulamento, as crianças merecem proteção especial quanto ao tratamento dos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Assim, essa proteção específica deve, nomeadamente, aplicar‑se ao tratamento de dados pessoais relativos às crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador ou ainda de proposta de serviços que visam diretamente crianças.

112

Além disso, como resulta do considerando 47 do RGPD, os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor‑se ao interesse do responsável pelo tratamento, quando os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam razoavelmente tal tratamento.

113

No caso em apreço, no âmbito das justificações suscetíveis de serem abrangidas pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, o órgão jurisdicional de reenvio faz referência à personalização da publicidade, à segurança da rede, à melhoria do produto, à informação das autoridades competentes para efeitos de procedimento penal, bem como da execução de penas, ao facto de o utilizador ser menor de idade, à investigação e à inovação para efeitos sociais, bem como à oferta, destinada aos anunciantes e a outros parceiros profissionais, de serviços de comunicação comercial destinados ao utilizador e de ferramentas de análise que lhes permitem avaliar o seu desempenho.

114

A este respeito, há que começar por salientar que o pedido de decisão prejudicial não contém elementos explicativos que permitam compreender em que medida a investigação e a inovação para finalidades sociais ou o facto de o utilizador ser menor de idade podem justificar, enquanto interesses legítimos na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, a recolha e a exploração dos dados em questão. Por conseguinte, o Tribunal de Justiça não está em condições de se pronunciar a este propósito.

115

Relativamente, primeiro, à personalização da publicidade, há que salientar que, em conformidade com o considerando 47 deste regulamento, se poderá considerar de interesse legítimo do responsável pelo tratamento o tratamento de dados pessoais efetuado para efeitos de comercialização direta.

116

No entanto, é ainda necessário que tal tratamento seja necessário para a realização desse interesse e que os interesses ou os direitos e liberdades fundamentais do titular dos dados não prevaleçam sobre este. No âmbito desta ponderação dos direitos e interesses opostos em causa, ou seja, os do responsável pelo tratamento, por um lado, e os do titular dos dados, por outro, importa ter em conta, como recordado no n.o 112 do presente acórdão, designadamente, as expetativas razoáveis do titular dos dados, o alcance do tratamento em causa e o impacto deste sobre essa pessoa.

117

A este respeito, importa salientar que, apesar da gratuitidade dos serviços de uma rede social em linha como o Facebook, o utilizador desta não pode razoavelmente esperar que, sem o seu consentimento, o operador dessa rede social trate os dados pessoais desse utilizador para efeitos de personalização da publicidade. Nestas condições, deve considerar‑se que os interesses e os direitos fundamentais desse utilizador prevalecem sobre o interesse desse operador nessa personalização da publicidade através da qual financia a sua atividade, pelo que o tratamento efetuado por este para estas finalidades não pode estar abrangido pelo artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD.

118

Por outro lado, o tratamento em causa no processo principal é particularmente amplo, uma vez que incide sobre dados potencialmente ilimitados e tem um impacto importante no utilizador, cujas atividades em linha são, em grande parte ou mesmo quase na sua totalidade, monitorizadas pela Meta Platforms Ireland, o que pode suscitar no utilizador a sensação de uma vigilância contínua da sua vida privada.

119

Segundo, no que respeita ao objetivo que visa garantir a segurança da rede, este constitui, como enuncia o considerando 49 do RGPD, um interesse legítimo da Meta Platforms Ireland, suscetível de justificar o tratamento em causa no processo principal.

120

Contudo, quanto à necessidade desse tratamento para a realização desse interesse legítimo, o órgão jurisdicional de reenvio deverá verificar se e em que medida o tratamento de dados pessoais recolhidos a partir de fontes externas à rede social Facebook é efetivamente necessário para assegurar que a segurança interna desta rede não seja comprometida.

121

Neste contexto, como referido nos n.os 108 e 109 do presente acórdão, esse órgão jurisdicional deverá igualmente verificar, por um lado, se o interesse legítimo do tratamento dos dados prosseguido não pode ser razoavelmente alcançado de forma igualmente eficaz através de outros meios menos lesivos dos direitos e liberdades fundamentais dos titulares dos dados, em especial dos direitos ao respeito pela vida privada e à proteção de dados pessoais garantidos pelos artigos 7.o e 8.o da Carta e, por outro, se o denominado princípio da «minimização dos dados», consagrado no artigo 5.o, n.o 1, alínea c), do RGPD, é respeitado.

122

Terceiro, no que se refere ao objetivo de melhoria do produto, não se pode excluir a priori que o interesse do responsável pelo tratamento em melhorar o seu produto ou o seu serviço com vista a torná‑lo mais eficaz e, assim, mais atrativo possa constituir um interesse legítimo que permita justificar um tratamento de dados pessoais e que esse tratamento possa ser necessário para a prossecução do referido interesse.

123

No entanto, sob reserva da apreciação final a efetuar a este respeito pelo órgão jurisdicional de reenvio, afigura‑se duvidoso que, no que se refere ao tratamento de dados em causa no processo principal, o objetivo de melhoria do produto possa, tendo em conta a amplitude desse tratamento e o seu impacto significativo no utilizador, bem como a circunstância de este último não poder razoavelmente esperar que esses dados sejam tratados pela Meta Platforms Ireland, prevalecer sobre os interesses e os direitos fundamentais desse utilizador, tanto mais na hipótese de este ser uma criança.

124

Quarto, no que respeita ao objetivo, evocado pelo órgão jurisdicional de reenvio, relativo à informação das autoridades competentes para efeitos de procedimento penal e de execução de penas destinadas a evitar, detetar e reprimir infrações, há que constatar que este objetivo não é suscetível, em princípio, de constituir um interesse legítimo prosseguido pelo responsável pelo tratamento, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD. Com efeito, um operador privado como a Meta Platforms Ireland não pode invocar esse interesse legítimo, alheio à sua atividade económica e comercial. Em contrapartida, o referido objetivo pode justificar o tratamento efetuado por esse operador quando for objetivamente necessário para o cumprimento de uma obrigação jurídica à qual esse operador está submetido.

125

Atendendo a todas as considerações precedentes, há que responder à terceira e quarta questões que o artigo 6.o, n.o 1, primeiro parágrafo, alínea b), do RGPD deve ser interpretado no sentido de que o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consista na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, só pode ser considerado necessário para a execução de um contrato do qual os titulares de dados são partes, na aceção desta disposição, se esse tratamento for objetivamente indispensável para realizar uma finalidade que faça parte integrante da prestação contratual destinada a esses mesmos utilizadores, de modo que o objeto principal do contrato não poderia ser alcançado sem esse tratamento.

126

O artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD deve ser interpretado no sentido de que esse tratamento só pode ser considerado necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, na aceção desta disposição, desde que o referido operador tenha indicado aos utilizadores cujos dados foram recolhidos um interesse legítimo prosseguido pelo seu tratamento, que esse tratamento seja efetuado na estrita medida do necessário para a realização desse interesse legítimo e que resulte de uma ponderação dos interesses opostos, à luz de todas as circunstâncias pertinentes, que os interesses ou os direitos ou as liberdades fundamentais desses utilizadores não prevalecem sobre o referido interesse legítimo do responsável pelo tratamento ou de um terceiro.

127

Em primeiro lugar, na medida em que esta questão visa o artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) e e), do RGPD, há que recordar que, nos termos desta alínea c), um tratamento de dados pessoais é lícito se for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito. Além disso, segundo esta alínea e), é igualmente lícito o tratamento necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

128

O artigo 6.o, n.o 3, do RGPD precisa designadamente, a respeito destas duas situações de licitude, que o tratamento deve ser baseado no direito da União ou no direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito e que esse fundamento jurídico deve responder a um objetivo de interesse público e ser proporcionado ao objetivo legítimo prosseguido.

129

No caso em apreço, o órgão jurisdicional de reenvio pretende saber se um tratamento de dados pessoais, como o que está em causa no processo principal, pode ser considerado justificado, à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, quando vise «dar resposta a um pedido legítimo de certos dados» e, à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), deste regulamento, quando tenha por objeto a «investigação para o bem‑estar da sociedade» e procure «a promoção da proteção, da integridade e da segurança».

130

Todavia, importa constatar que esse órgão jurisdicional não forneceu ao Tribunal de Justiça os elementos que lhe permitem pronunciar‑se concretamente a este respeito.

131

Deste modo, incumbirá ao referido órgão jurisdicional verificar, à luz dos requisitos indicados no n.o 128 do presente acórdão, se o referido tratamento pode ser considerado justificado pelas finalidades invocadas.

132

Em particular, tendo em conta o salientado no n.o 124 do presente acórdão, incumbir‑lhe‑á nomeadamente verificar, para efeitos da aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, se a Meta Platforms Ireland está sujeita a uma obrigação jurídica de recolha e de conservação de dados pessoais de forma preventiva a fim de poder responder a qualquer pedido de uma autoridade nacional destinado a obter certos dados relativos aos seus utilizadores.

133

Do mesmo modo, caberá ao referido órgão jurisdicional apreciar, à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD, se a Meta Platforms Ireland está investida de uma missão de interesse público ou abrangida pelo exercício da autoridade pública, nomeadamente para assegurar a investigação para o bem‑estar da sociedade e promover a proteção, a integridade e a segurança, especificando‑se que, tendo em conta a natureza e o caráter essencialmente económico e comercial da sua atividade, se afigura pouco provável que esse operador privado esteja investido da referida missão.

134

Por outro lado, o órgão jurisdicional de reenvio deverá, sendo caso disso, verificar se, tendo em conta a amplitude do tratamento de dados efetuado pela Meta Platforms Ireland e o seu impacto significativo para os utilizadores da rede social Facebook, esse tratamento é efetuado na estrita medida do necessário.

135

No que respeita, em segundo lugar, ao artigo 6.o, n.o 1, primeiro parágrafo, alínea d), do RGPD, esta disposição prevê que o tratamento de dados pessoais é lícito se for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

136

Como resulta do considerando 46 deste regulamento, esta disposição visa a situação especial em que o tratamento de dados pessoais é necessário para proteger um interesse essencial à vida do titular dos dados ou de qualquer outra pessoa singular. A este propósito, este considerando cita, nomeadamente, a título de exemplos, fins humanitários, como a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial em situações de catástrofes naturais e de origem humana.

137

Resulta destes exemplos, bem como da interpretação estrita do artigo 6.o, n.o 1, primeiro parágrafo, alínea d), do RGPD que deve ser adotada, que, atendendo à natureza dos serviços prestados pelo operador de uma rede social em linha, esse operador, cuja atividade reveste caráter essencialmente económico e comercial, não pode invocar a proteção de um interesse essencial à vida dos seus utilizadores ou de outra pessoa para justificar, em termos absolutos e de forma puramente abstrata e preventiva, a licitude de um tratamento de dados como o que está em causa no processo principal.

138

À luz das considerações precedentes, há que responder à quinta questão que o artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD deve ser interpretado no sentido de que o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consiste na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, é justificado, ao abrigo desta disposição, quando for efetivamente necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento está sujeito, por força de uma disposição do direito da União ou do direito do Estado‑Membro em causa, quando esse fundamento jurídico responda a um objetivo de interesse público e seja proporcionado ao objetivo legítimo prosseguido e quando esse tratamento seja efetuado na estrita medida do necessário.

139

O artigo 6.o, n.o 1, primeiro parágrafo, alíneas d) e e), do RGPD deve ser interpretado no sentido de que esse tratamento de dados pessoais não pode, em princípio e sob reserva de verificação a efetuar pelo órgão jurisdicional de reenvio, ser considerado necessário à defesa de interesses vitais do titular dos dados ou de outra pessoa singular, na aceção da alínea d), ou ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, na aceção da alínea e).

140

Com a sua sexta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, primeiro parágrafo, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que se pode considerar que um consentimento dado pelo utilizador de uma rede social em linha ao operador dessa rede preenche os requisitos de validade previstos no artigo 4.o, ponto 11, deste regulamento, em especial o de que esse consentimento deve ser dado livremente, quando esse operador ocupa uma posição dominante no mercado das redes sociais em linha.

141

O artigo 6.o, n.o 1, primeiro parágrafo, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD exigem o consentimento do titular dos dados para efeitos, respetivamente, do tratamento, para uma ou mais finalidades específicas, dos seus dados pessoais, bem como do tratamento de categorias especiais de dados a que se refere este artigo 9.o, n.o 1.

142

Por sua vez, o artigo 4.o, ponto 11, do RGPD define o conceito de «consentimento» como «uma manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento».

143

À luz das interrogações do órgão jurisdicional de reenvio, importa recordar, em primeiro lugar, que, em conformidade com o considerando 42 do RGPD, não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

144

Em segundo lugar, o considerando 43 deste regulamento enuncia que, a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais quando exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento. Este considerando precisa igualmente que se presume que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico.

145

Em terceiro lugar, o artigo 7.o, n.o 4, do RGPD prevê que, ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

146

É com base nestas considerações que há que responder à sexta questão.

147

A este respeito, importa constatar que é certo que a circunstância de o operador de uma rede social em linha, como responsável pelo tratamento, ocupar uma posição dominante no mercado das redes sociais não obsta, enquanto tal, a que os utilizadores dessa rede social possam validamente consentir, na aceção do artigo 4.o, ponto 11, do RGPD, no tratamento dos seus dados pessoais efetuado por esse operador.

148

Não deixa de ser verdade que, como salientou, em substância, o advogado‑geral no n.o 75 das suas conclusões, tal circunstância deve ser tomada em consideração na apreciação do caráter válido e, nomeadamente, livre do consentimento dado pelo utilizador da referida rede, uma vez que é suscetível de afetar a liberdade de escolha desse utilizador que pode não estar em condições de recusar ou retirar o seu consentimento sem ser prejudicado, como indica o considerando 42 do RGPD.

149

Além disso, a existência dessa posição dominante é suscetível de criar um desequilíbrio manifesto, na aceção do considerando 43 do RGPD, entre o titular dos dados e o responsável pelo tratamento, desequilíbrio este que favorece, nomeadamente, a imposição de requisitos que não são estritamente necessários para a execução do contrato, o que deve ser tido em conta em conformidade com o artigo 7.o, n.o 4, deste regulamento. Neste contexto, há que recordar que, como salientado nos n.os 102 a 104 do presente acórdão, não se afigura, sob reserva das verificações a efetuar pelo órgão jurisdicional de reenvio, que o tratamento em causa no processo principal seja estritamente necessário para a execução do contrato celebrado entre a Meta Platforms Ireland e os utilizadores da rede social Facebook.

150

Assim, esses utilizadores devem dispor da liberdade de recusar individualmente, no âmbito do processo contratual, dar o seu consentimento a operações específicas de tratamento de dados não necessárias à execução do contrato, sem que, no entanto, sejam obrigados a renunciar integralmente à utilização do serviço proporcionado pelo operador da rede social em linha, o que implica que seja proposta aos referidos utilizadores, sendo caso disso mediante uma remuneração adequada, uma alternativa equivalente não acompanhada de tais operações de tratamento de dados.

151

Acresce que, tendo em conta a amplitude do tratamento dos dados em questão e o seu impacto significativo nos utilizadores dessa rede, bem como a circunstância de esses utilizadores não poderem razoavelmente esperar que dados diferentes dos relativos ao seu comportamento dentro da rede social sejam tratados pelo operador desta, é adequado, na aceção deste considerando 43, que possa ser dado um consentimento distinto para o tratamento destes últimos dados, por um lado, e dos dados off‑Facebook, por outro. Cabe ao órgão jurisdicional de reenvio verificar a existência dessa possibilidade, na falta da qual se deve presumir que o consentimento dos referidos utilizadores para o tratamento dos dados off‑Facebook não foi dado livremente.

152

Por último, importa recordar que, nos termos do artigo 7.o, n.o 1, do RGPD, quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

153

É à luz destes critérios e de uma análise pormenorizada de todas as circunstâncias do caso concreto que caberá ao órgão jurisdicional de reenvio determinar se os utilizadores da rede social Facebook deram o seu consentimento de forma válida e, nomeadamente, livre para o tratamento em causa no processo principal.

154

Face ao exposto, há que responder à sexta questão que o artigo 6.o, n.o 1, primeiro parágrafo, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que a circunstância de o operador de uma rede social em linha ocupar uma posição dominante no mercado das redes sociais em linha não obsta, enquanto tal, a que os utilizadores dessa rede possam validamente consentir, na aceção do artigo 4.o, ponto 11, deste regulamento, no tratamento dos seus dados pessoais, a ser efetuado por esse operador. Não obstante, esta circunstância constitui um elemento importante para determinar se o consentimento foi efetivamente dado de forma válida e, nomeadamente, livre, o que incumbe ao referido operador provar.

155

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara: