–

em representação de UF e AB, por R. Rohrmoser e S. Tintemann, Rechtsanwälte,

–

em representação do Land Hessen, por M. Kottmann e G. Ziegenhorn, Rechtsanwälte,

–

em representação da SCHUFA Holding AG, por G. Thüsing e U. Wuermeling, Rechtsanwalt,

–

em representação do Governo Alemão, por J. Möller e P.‑L. Krüger, na qualidade de agentes,

–

em representação do Governo Português, por P. Barros da Costa, J. Ramos e C. Vieira Guerra, na qualidade de agentes,

–

em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher, H. Kranenborg e W. Wils, na qualidade de agentes,

1

Os presentes pedidos de decisão prejudicial têm por objeto a interpretação dos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), bem como do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do artigo 17.o, n.o 1, alínea d), do artigo 40.o, do artigo 77.o, n.o 1, e do artigo 78.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1 e retificação no JO 2018, L 127, p. 2, a seguir «RGPD»).

2

Estes pedidos foram apresentados no âmbito de dois litígios que opõem UF (processo C‑26/22) e AB (processo C‑64/22) ao Land Hessen (Land de Hesse, Alemanha) a respeito da recusa do Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comissário para a Proteção de Dados e a Liberdade de Informação do Land de Hesse, Alemanha) (a seguir «HBDI») de ordenar à SCHUFA Holding AG (a seguir «SCHUFA») que proceda à supressão de dados por esta conservados relativos à remissão da dívida remanescente a favor de UF e de AB.

3

Nos termos dos considerandos 26 e 28 da Diretiva 2008/48/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2008, relativa a contratos de crédito aos consumidores e que revoga a Diretiva 87/102/CEE do Conselho (JO 2008, L 133, p. 66):

[…]

4

O artigo 8.o desta diretiva, sob a epígrafe «Obrigação de avaliar a solvabilidade do consumidor», prevê, no seu n.o 1:

«Os Estados‑Membros devem assegurar que, antes da celebração do contrato de crédito, o mutuante avalie a solvabilidade do consumidor com base em informações suficientes, se for caso disso obtidas do consumidor e, se necessário, com base na consulta da base de dados relevante. Os Estados‑Membros cuja legislação exija que os mutuantes avaliem a solvabilidade dos consumidores com base numa consulta da base de dados relevante podem reter esta disposição.»

5

Nos termos dos considerandos 55 e 59 da Diretiva 2014/17/UE do Parlamento Europeu e do Conselho, de 4 de fevereiro de 2014, relativa aos contratos de crédito aos consumidores para imóveis de habitação e que altera as Diretivas 2008/48/CE e 2013/36/UE e o Regulamento (UE) n.o 1093/2010 (JO 2014, L 60, p. 34):

[…]

6

O artigo 18.o desta diretiva, sob a epígrafe «Obrigação de avaliar a solvabilidade do consumidor», dispõe, no seu n.o 1:

«Os Estados‑Membros asseguram que, antes da celebração do contrato de crédito, o mutuante proceda a uma rigorosa avaliação da solvabilidade do consumidor. A avaliação deve ter devidamente em conta os fatores relevantes para verificar a probabilidade de o consumidor cumprir as obrigações decorrentes do contrato de crédito.»

7

O artigo 21.o da referida diretiva, sob a epígrafe «Acesso a bases de dados», enuncia, nos seus n.os 1 e 2:

«1.   Os Estados‑Membros asseguram que todos os mutuantes de todos os Estados‑Membros tenham acesso às bases de dados utilizadas no respetivo território para efeitos da avaliação da solvabilidade dos consumidores e para efeitos exclusivos de acompanhamento do cumprimento das obrigações de crédito por parte dos consumidores durante a vigência do contrato de crédito. As condições deste acesso não podem ser discriminatórias.

2.   O n.o 1 aplica‑se tanto às bases de dados operadas por gabinetes de crédito privados ou agências de referência de crédito como aos registos públicos.»

8

Nos termos do considerando 76 do Regulamento (UE) 2015/848 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativo aos processos de insolvência (JO 2015, L 141, p. 19):

«Para melhorar a informação aos credores e aos órgãos jurisdicionais interessados e evitar a abertura de processos de insolvência paralelos, os Estados‑Membros deverão ser obrigados a publicar as informações relevantes dos processos de insolvência transfronteiriços num registo eletrónico acessível ao público. A fim de facilitar o acesso a essas informações por parte dos credores e órgãos jurisdicionais domiciliados ou situados noutros Estados‑Membros, o presente regulamento deverá prever a interligação desses registos de insolvências através do Portal Europeu da Justiça. […]»

9

O artigo 79.o deste regulamento, sob a epígrafe «Responsabilidade dos Estados‑Membros em matéria de tratamento de dados pessoais nos registos nacionais de insolvências», prevê, nos seus n.os 4 e 5:

«4.   Os Estados‑Membros são responsáveis, nos termos da Diretiva 95/46/CE [do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31)], pela recolha e armazenamento dos dados nas bases de dados nacionais e pelas decisões tomadas para garantir a sua acessibilidade nos registos interligados que podem ser consultados através do Portal Europeu da Justiça.

5.   As informações a fornecer pelos Estados‑Membros aos titulares dos dados, a fim de lhes permitir exercerem os seus direitos, especialmente, o direito de apagarem dados, incluem o período de acessibilidade estabelecido para os dados pessoais armazenados nos registos de insolvências.»

10

Nos termos dos considerandos 10, 11, 47, 50, 98, 141 e 143 do RGPD:

[…]

[…]

[…]

[…]

[…]

11

O artigo 5.o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», tem a seguinte redação:

«1.   Os dados pessoais são:

[…]

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

12

O artigo 6.o do referido regulamento, sob a epígrafe «Licitude do tratamento», prevê:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

[…]

4.   Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

13

O artigo 17.o do RGPD, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», prevê, no seu n.o 1:

«O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

[…]

[…]»

14

O artigo 21.o deste regulamento, sob a epígrafe «Direito de oposição», dispõe, nos seus n.os 1 e 2:

«1.   O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f), ou no artigo 6.o, n.o 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

2.   Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.»

15

O artigo 40.o do referido regulamento, sob a epígrafe «Códigos de conduta», enuncia, nos seus n.os 1, 2 e 5:

«1.   Os Estados‑Membros, as autoridades de controlo, o Comité e a Comissão [Europeia] promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2.   As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

[…]

5.   As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.»

16

O artigo 51.o do RGPD, sob a epígrafe «Autoridade de controlo», prevê, no seu n.o 1:

«Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”).»

17

O artigo 52.o deste regulamento, sob a epígrafe «Independência», dispõe, nos seus n.os 1, 2 e 4:

«1.   As autoridades de controlo agem com total independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento.

2.   Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.

[…]

4.   Os Estados‑Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.»

18

O artigo 57.o do referido regulamento, sob a epígrafe «Atribuições», enuncia, no seu n.o 1:

«Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

[…]

[…]»

19

O artigo 58.o do RGPD, sob a epígrafe «Poderes», enumera, no seu n.o 1, os poderes de investigação de que cada autoridade de controlo dispõe e, no seu n.o 2, as medidas corretivas que esta pode adotar.

20

O artigo 77.o deste regulamento, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», enuncia:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2.   A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78.o»

21

O artigo 78.o do referido regulamento, sob a epígrafe «Direito à ação judicial contra uma autoridade de controlo», dispõe, nos seus n.os 1 e 2:

«1.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

2.   Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados têm direito à ação judicial se a autoridade de controlo competente nos termos dos artigos 55.o e 56.o não tratar a reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado nos termos do artigo 77.o»

22

O artigo 79.o do RGPD, sob a epígrafe «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», prevê, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

23

Nos termos do § 9, n.o 1, do Insolvenzordnung (Código da Insolvência), de 5 de outubro de 1994 (BGBl. 1994, p. 2866), na sua versão aplicável aos factos nos processos principais:

«A publicação oficial é feita através de uma publicação central em todos os Länder na Internet; pode ser feita por excertos. O devedor deve ser identificado com precisão; devem, em particular, ser indicados o seu endereço e o setor de atividade. A comunicação é considerada feita depois de decorridos dois dias sobre o dia da publicação.»

24

O § 3 do Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Regulamento sobre Publicações Oficiais na Internet em Processos de Insolvência), de 12 de fevereiro de 2002 (BGBl. I, p. 677, a seguir «InsoBekV»), enuncia, nos seus n.os 1 e 2:

«(1)   A publicação, num sistema eletrónico de informação e comunicação, dos dados relativos a um processo de insolvência, incluindo o procedimento de abertura, será apagada o mais tardar seis meses após o encerramento do processo de insolvência ou a extinção do processo de insolvência se ter tornado definitivo. Se um processo não tiver sido iniciado, o prazo começa a correr a partir do levantamento das medidas cautelares publicadas.

(2)   No que respeita às publicações efetuadas no âmbito do processo de remissão da dívida remanescente, incluindo a decisão referida no § 289 do Código da Insolvência, aplica‑se o n.o 1, primeiro período, começando o prazo a correr quando a decisão sobre a remissão da dívida remanescente se tornar definitiva.»

25

No âmbito dos processos de insolvência que lhes diziam respeito, UF e AB beneficiaram de decisões judiciais de remissão antecipada da dívida remanescente, proferidas, respetivamente, em 17 de dezembro de 2020 e em 23 de março de 2021. Em conformidade com o § 9, n.o 1, do Insolvenzordnung e o § 3, n.os 1 e 2, do InsoBekV, a publicação oficial dessas decisões na Internet foi suprimida decorrido um prazo de seis meses das referidas decisões.

26

A SCHUFA é uma sociedade privada que fornece informações comerciais que regista e conserva, nas suas próprias bases de dados, informações provenientes de registos públicos, nomeadamente relativas às remissões de dívida remanescente. Esta sociedade procede à supressão destas informações decorrido um prazo de três anos do seu registo, em conformidade com o código de conduta elaborado, na Alemanha, pela associação que agrupa as sociedades que fornecem informações comerciais e aprovado pela autoridade de controlo competente.

27

UF e AB dirigiram‑se à SCHUFA para obter desta o apagamento das inscrições relativas às decisões de remissão da dívida remanescente de que tinham sido objeto. Esta sociedade recusou aceder aos seus pedidos, depois de ter explicado que a sua atividade era realizada no respeito do RGPD e que o prazo de apagamento de seis meses previsto no § 3, n.o 1, do InsoBekV não lhe era aplicável.

28

UF e AB apresentaram então ambos reclamação no HBDI na qualidade de autoridade de controlo competente.

29

Por decisões proferidas, respetivamente, em 1 de março de 2021 e em 9 de julho de 2021, o HBDI considerou que o tratamento de dados efetuado pela SCHUFA era lícito.

30

UF e AB interpuseram, ambos, recurso da decisão do HBDI no Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden), o órgão jurisdicional de reenvio. Em apoio desses recursos, alegaram que o HBDI estava obrigado, no âmbito das suas missões e dos seus poderes, a adotar medidas contra a SCHUFA impondo‑lhe que procedesse ao apagamento das inscrições que lhes diziam respeito.

31

Em sua defesa, o HBDI pediu que fosse negado provimento aos recursos.

32

Por um lado, o HBDI alegou que o direito de apresentar reclamação, previsto no artigo 77.o, n.o 1, do RGPD, está concebido apenas como um direito de petição. Assim, a fiscalização jurisdicional limita-se a verificar se a autoridade de controlo tratou a reclamação e informou o seu autor do andamento e do resultado dessa reclamação. Em contrapartida, não compete ao juiz chamado a pronunciar‑se fiscalizar a exatidão quanto ao mérito da decisão proferida sobre a reclamação.

33

Por outro lado, o HBDI sublinhou que os dados a que as sociedades que fornecem informações comerciais têm acesso podem ser conservados enquanto tal for necessário para os fins para os quais foram conservados. Na falta de regulamentação prevista pelo legislador nacional, foram adotados códigos de conduta pelas autoridades de controlo e aquele elaborado pela associação que agrupa as sociedades que fornecem informações comerciais prevê a supressão desses dados exatamente três anos após a inscrição no ficheiro.

34

A este respeito, em primeiro lugar, o órgão jurisdicional de reenvio considera necessário clarificar a natureza jurídica da decisão que a autoridade de controlo toma depois de lhe ter sido apresentada uma reclamação ao abrigo do artigo 77.o, n.o 1, do RGPD.

35

Concretamente, este órgão jurisdicional tem dúvidas quanto à argumentação do HBDI, dado que a mesma equivaler a pôr em causa a efetividade da ação judicial prevista no artigo 78.o, n.o 1, do RGPD. Além disso, tendo em vista o objetivo deste regulamento, que consiste, no âmbito da aplicação dos artigos 7.o e 8.o da Carta, em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, os artigos 77.o e 78.o do referido regulamento não podem ser interpretados de forma restritiva.

36

O referido órgão jurisdicional preconiza uma interpretação segundo a qual a decisão de mérito tomada pela autoridade de controlo deve ser sujeita a uma fiscalização plena do juiz. Todavia, essa autoridade dispõe tanto de um poder de apreciação como de um poder discricionário e só pode ser obrigada a agir quando não possam ser identificadas outras opções lícitas.

37

Em segundo lugar, o órgão jurisdicional de reenvio interroga‑se, a dois títulos, sobre a licitude da conservação, por sociedades que fornecem informações comerciais, de dados relativos à solvabilidade de uma pessoa provenientes de registos públicos como o registo de insolvências.

38

Primeiro, existem dúvidas quanto à licitude da conservação por uma sociedade privada como a SCHUFA, nas suas próprias bases de dados, dos dados transferidos a partir de registos públicos.

39

Com efeito, antes de mais, essa conservação não ocorre num caso concreto, mas na eventualidade de os seus parceiros contratuais lhes pedirem tais informações, levando, em última análise, a que os dados fossem arquivados, sobretudo quando já tivessem sido suprimidos do registo público em virtude de o prazo de conservação já ter expirado.

40

Além disso, um tratamento e, logo, uma conservação de dados só são autorizados se estiver preenchido um dos requisitos previstos no artigo 6.o, n.o 1, do RGPD. No caso em apreço, apenas o requisito previsto no artigo 6.o, n.o 1, primeiro parágrafo, alínea f), deste regulamento é relevante. Ora, não é claro que uma sociedade que forneça informações comerciais como a SCHUFA prossiga um interesse legítimo na aceção dessa disposição.

41

Por último, a SCHUFA é apenas uma de entre várias sociedades que fornecem informações comerciais, pelo que os dados são conservados na Alemanha de várias formas, o que implica uma violação grave do direito fundamental consagrado no artigo 7.o da Carta.

42

Segundo, mesmo admitindo que a conservação por sociedades privadas de dados provenientes de registos públicos seja lícita enquanto tal, coloca‑se a questão da duração possível dessa conservação.

43

A este respeito, o órgão jurisdicional de reenvio entende que há que exigir a essas sociedades privadas que respeitem o prazo de seis meses previsto no § 3 do InsoBekV, relativo à conservação no registo de insolvências das decisões de remissão da dívida remanescente. Assim, os dados que devem ser suprimidos do registo público teriam também de ser suprimidos simultaneamente em todas as sociedades privadas que fornecem informações comerciais e que tinham conservado estes dados.

44

De resto, coloca‑se a questão de saber se um código de conduta aprovado em conformidade com o artigo 40.o do RGPD, que prevê um prazo de apagamento de três anos para a inscrição relativa à remissão da dívida remanescente, deve ser tido em conta na ponderação que deve ser efetuada no âmbito da apreciação ao abrigo do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD.

45

Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

46

Por Decisão do presidente do Tribunal de Justiça de 11 de fevereiro de 2022, os processos C‑26/22 e C‑64/22 foram apensados para efeitos das fases escrita e oral, assim como do acórdão.

47

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 78.o, n.o 1, do RGPD deve ser interpretado no sentido de que a fiscalização jurisdicional exercida sobre uma decisão sobre uma reclamação adotada por uma autoridade de controlo se limita à questão de saber se essa autoridade tratou a reclamação, investigou adequadamente o seu objeto e informou o reclamante da conclusão do exame, ou se essa decisão está sujeita a uma fiscalização jurisdicional plena, incluindo o poder de o juiz chamado a pronunciar‑se impor à autoridade de controlo que tome uma medida concreta.

48

Para responder a esta questão, há que recordar, a título preliminar, que a interpretação de uma disposição do direito da União exige que se tenha em conta não só os seus termos mas também o contexto em que se insere e os objetivos e a finalidade prosseguidos pelo ato de que faz parte (Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.o 38 e jurisprudência referida).

49

Quanto aos termos do artigo 78.o, n.o 1, do RGPD, esta disposição prevê que, sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

50

A este respeito, cabe salientar, antes de mais que, no caso em apreço, as decisões adotadas pelo HBDI constituem decisões juridicamente vinculativas na aceção do artigo 78.o, n.o 1. Com efeito, depois de ter examinado o mérito das reclamações que lhe foram submetidas, esta autoridade considerou que o tratamento de dados pessoais contestado pelos recorrentes nos processos principais era lícito ao abrigo do RGPD. O caráter juridicamente vinculativo dessas decisões é, de resto, confirmado pelo considerando 143 deste regulamento, segundo o qual a recusa ou rejeição de uma reclamação por uma autoridade de controlo constitui uma decisão que produz efeitos jurídicos em relação ao autor dessa reclamação.

51

Importa também salientar que resulta expressamente desta disposição, lida à luz do considerando 141 deste regulamento, que os titulares dos dados têm direito a uma ação judicial, nos termos do artigo 47.o da Carta.

52

Assim, o Tribunal de Justiça já declarou que decorre do artigo 78.o, n.o 1, do RGPD, lido à luz do considerando 143 deste regulamento, que os órgãos jurisdicionais chamados a conhecer de um recurso de uma decisão de uma autoridade de controlo devem dispor de jurisdição plena, nomeadamente para examinar todas as questões de facto e de direito relativas ao litígio que lhes foi submetido (Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.o 41).

53

Por conseguinte, o artigo 78.o, n.o 1, do RGPD não pode ser interpretado no sentido de que a fiscalização jurisdicional exercida sobre uma decisão sobre uma reclamação adotada por uma autoridade de controlo se limita à questão de saber se essa autoridade tratou a reclamação, investigou adequadamente o seu objeto e informou o reclamante da conclusão do exame. Pelo contrário, para que uma ação judicial seja efetiva, como exige esta disposição, essa decisão deve ser sujeita a uma fiscalização jurisdicional plena.

54

Esta interpretação é corroborada pelo contexto em que se inscreve o artigo 78.o, n.o 1, do RGPD, bem como pelos objetivos e finalidade prosseguidos por este regulamento.

55

Quanto ao contexto que envolve esta disposição, importa salientar que, em conformidade com o artigo 8.o, n.o 3, da Carta, e com os artigos 51.o, n.o 1 e 57.o, n.o 1, alínea a), do RGPD, as autoridades nacionais de controlo estão encarregadas de fiscalizar o cumprimento das regras da União relativas à proteção das pessoas singulares no que se refere ao tratamento de dados pessoais (Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 107).

56

Concretamente, por força do artigo 57.o, n.o 1, alínea f), do RGPD, cada autoridade de controlo está obrigada, no território respetivo, a tratar as reclamações que, em conformidade com o artigo 77.o, n.o 1, deste regulamento, qualquer pessoa tem o direito de apresentar quando considere que um tratamento de dados pessoais que lhe diga respeito constitui uma violação do referido regulamento, assim como a examinar o seu objeto na medida do necessário. A autoridade de controlo deve proceder ao tratamento de uma reclamação dessa natureza com toda a diligência exigida (Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 109).

57

Para tratar as reclamações apresentadas, o artigo 58.o, n.o 1, do RGPD investe cada autoridade de controlo de importantes poderes de investigação. Quando uma autoridade de controlo considere, no termo da sua investigação, que o titular dos dados que foram transferidos para um país terceiro não beneficia, neste país terceiro, de um nível de proteção adequado, está obrigada, em aplicação do direito da União, a reagir de forma apropriada, a fim de sanar a insuficiência verificada, independentemente da origem ou da natureza dessa insuficiência. A este respeito, o artigo 58.o, n.o 2, do referido regulamento enumera as diferentes medidas corretivas que a autoridade de controlo pode adotar (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, n.o 111).

58

Daqui resulta, como salientou o advogado‑geral no n.o 42 das suas conclusões, que o processo de reclamação, que não se assemelha ao de uma petição, é concebido como um mecanismo capaz de salvaguardar de maneira eficaz os direitos e interesses dos titulares dos dados.

59

Ora, tendo em conta os amplos poderes de que a autoridade de controlo está investida por força do RGPD, a exigência de uma proteção jurisdicional efetiva não seria satisfeita se as decisões relativas ao exercício, por essa autoridade de controlo, de poderes de investigação ou de adoção de medidas corretivas só estivessem sujeitas a uma fiscalização jurisdicional restrita.

60

O mesmo se aplica às decisões de rejeição de uma reclamação, uma vez que o artigo 78.o, n.o 1, do RGPD não distingue em função da natureza da decisão adotada pela autoridade de controlo.

61

No que se refere aos objetivos prosseguidos pelo RGPD, resulta nomeadamente do seu considerando 10 que este visa assegurar um nível de proteção elevado das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União. O considerando 11 deste regulamento enuncia, além disso, que a proteção eficaz desses dados exige o reforço dos direitos dos titulares dos dados.

62

Ora, se o artigo 78.o, n.o 1, do referido regulamento devesse ser interpretado no sentido de que a fiscalização jurisdicional por ele visado se limita a verificar se a autoridade de controlo tratou a reclamação, investigou adequadamente o seu objeto e informou o reclamante da conclusão do exame, a realização dos objetivos e a prossecução da finalidade do mesmo regulamento ficariam necessariamente comprometidas.

63

Por outro lado, a interpretação desta disposição segundo a qual uma decisão sobre uma reclamação adotada por uma autoridade de controlo está sujeita a uma fiscalização jurisdicional plena não põe em causa as garantias de independência de que beneficiam as autoridades de controlo, nem o direito a uma ação judicial efetiva contra um responsável pelo tratamento ou um subcontratante.

64

Em primeiro lugar, é verdade que, em conformidade com o artigo 8.o, n.o 3, da Carta, o cumprimento das regras em matéria de proteção de dados pessoais está sujeito a fiscalização por parte de uma autoridade independente. Neste contexto, o artigo 52.o do RGPD precisa, nomeadamente, que as autoridades de controlo agem com total independência na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento (n.o 1), que os membros das autoridades de controlo não estão sujeitos a influências externas (n.o 2), e que os Estados‑Membros asseguram que cada autoridade de controlo disponha dos recursos necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes (n.o 4).

65

Todavia, estas garantias de independência não são de modo algum comprometidas pelo facto de as decisões juridicamente vinculativas de uma autoridade de controlo estarem sujeitas a uma fiscalização jurisdicional plena.

66

Em segundo lugar, no que respeita ao direito a uma ação judicial contra um responsável pelo tratamento ou um subcontratante, previsto no artigo 79.o, n.o 1, do RGPD, há que salientar que, segundo a jurisprudência do Tribunal de Justiça, as vias de recurso previstas, respetivamente, no artigo 78.o, n.o 1, e no artigo 79.o, n.o 1, deste regulamento podem ser exercidas de maneira concorrente e independente (Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.o 35 e dispositivo). Neste contexto, o Tribunal de Justiça considerou, nomeadamente, que a disponibilização de várias vias de recurso reforça o objetivo enunciado no considerando 141 do referido regulamento, de garantir a qualquer titular dos dados que considere que os direitos que este regulamento lhe confere são violados de dispor do direito a uma ação perante um tribunal em conformidade com o artigo 47.o da Carta (Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.o 44).

67

Por conseguinte, embora caiba aos Estados‑Membros, de acordo com o princípio da autonomia processual, prever as modalidades de articulação dessas vias de recurso (Acórdão de 12 de janeiro de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, n.o 45 e dispositivo), a existência do direito a uma ação judicial contra um responsável pelo tratamento ou um subcontratante, previsto no artigo 79.o, n.o 1, do RGPD, não afeta o alcance da fiscalização jurisdicional exercida, no âmbito de uma ação judicial ao abrigo do artigo 78.o, n.o 1, deste regulamento, contra uma decisão sobre uma reclamação adotada por uma autoridade de controlo.

68

No entanto, há que acrescentar que, embora, como recordado no n.o 56 do presente acórdão, a autoridade de controlo deva proceder ao tratamento de uma reclamação com toda a diligência exigida, essa autoridade dispõe, no que respeita às medidas corretivas enumeradas no artigo 58.o, n.o 2, do RGPD, de uma margem de apreciação quanto à escolha dos meios adequados e necessários (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, n.o 112).

69

Ora, embora o juiz nacional a quem foi submetida uma ação judicial ao abrigo do artigo 78.o, n.o 1, do RGPD deva, como foi constatado no n.o 52 do presente acórdão, dispor de jurisdição plena para examinar todas as questões de facto e de direito relativas ao litígio em questão, a garantia de uma proteção jurisdicional efetiva não implica que esteja habilitado a substituir a apreciação dessa autoridade pela sua apreciação da escolha das medidas corretivas adequadas e necessárias, mas exige que esse juiz examine se a autoridade de controlo respeitou os limites do seu poder de apreciação.

70

Tendo em conta todas as considerações precedentes, há que responder à primeira questão que o artigo 78.o, n.o 1, do RGPD deve ser interpretado no sentido de que uma decisão sobre uma reclamação adotada por uma autoridade de controlo está sujeita a uma fiscalização jurisdicional plena.

71

Com as questões segunda a quinta, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância,

72

Nos termos do artigo 5.o, n.o 1, alínea a), do RGPD, os dados pessoais são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.

73

Neste contexto, o artigo 6.o, n.o 1, primeiro parágrafo, deste regulamento prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, um tratamento deve estar abrangido por um dos casos previstos nesta disposição [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 90 e jurisprudência referida].

74

No caso em apreço, é pacífico que a licitude do tratamento de dados pessoais em causa nos processos principais deve ser apreciada apenas à luz do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD. Nos termos desta disposição, o tratamento de dados pessoais só é lícito se, e uma vez que, esse tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular dos dados que exijam a proteção dos dados pessoais, especialmente se o titular for uma criança.

75

Assim, a referida disposição prevê três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber: primeiro, a prossecução de interesses legítimos pelo responsável pelo tratamento ou por terceiros; segundo, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e; terceiro, o requisito de os interesses ou direitos e liberdades fundamentais da pessoa a quem a proteção de dados diz respeito não prevalecerem [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 106 e jurisprudência referida].

76

No que respeita, em primeiro lugar, ao requisito relativo à prossecução de um «interesse legítimo», na falta de definição deste conceito pelo RGPD, importa sublinhar, como salientou o advogado‑geral no n.o 61 das suas conclusões, que um amplo leque de interesses é, em princípio, suscetível de ser considerado legítimo.

77

No que se refere, em segundo lugar, ao requisito relativo à necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido, este impõe ao órgão jurisdicional de reenvio que verifique se o interesse legítimo do tratamento dos dados prosseguido não pode ser razoavelmente alcançado de modo igualmente eficaz através de outros meios menos lesivos das liberdades e dos direitos fundamentais dos titulares dos dados, especialmente dos direitos ao respeito pela vida privada e à proteção dos dados pessoais garantidos pelos artigos 7.o e 8.o da Carta [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 108 e jurisprudência referida].

78

Neste contexto, há igualmente que recordar que o requisito relativo à necessidade do tratamento deve ser examinado conjuntamente com o denominado princípio da «minimização dos dados» consagrado no artigo 5.o, n.o 1, alínea c), do RGPD, segundo o qual os dados pessoais devem ser «adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados» [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 109 e jurisprudência referida].

79

Relativamente, em terceiro lugar, ao requisito de que os interesses ou as liberdades e os direitos fundamentais do titular dos dados não prevaleçam sobre o interesse legítimo do responsável pelo tratamento ou de um terceiro, o Tribunal de Justiça já declarou que este implica uma ponderação dos direitos e dos interesses opostos em causa que depende, em princípio, das circunstâncias concretas do caso específico e que, por conseguinte, cabe ao órgão jurisdicional de reenvio efetuar essa ponderação tendo em conta essas circunstâncias específicas [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 110 e jurisprudência referida].

80

Além disso, como resulta do considerando 47 do RGPD, os interesses e os direitos fundamentais do titular dos dados podem, particularmente, sobrepor‑se ao interesse do responsável pelo tratamento, quando os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam razoavelmente tal tratamento [Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 112].

81

Embora caiba, portanto, em definitivo, ao órgão jurisdicional de reenvio apreciar se, no que respeita ao tratamento de dados pessoais em causa nos litígios nos processos principais, os três requisitos recordados no n.o 75 do presente acórdão estão preenchidos, o Tribunal de Justiça, decidindo a título prejudicial, pode prestar esclarecimentos destinados a guiar o órgão jurisdicional nacional na sua decisão (v., neste sentido, Acórdão de 20 de outubro de 2022, Digi, C‑77/21, EU:C:2022:805, n.o 39 e jurisprudência referida).

82

No caso em apreço, no que respeita à prossecução de um interesse legítimo, a SCHUFA alega que as sociedades que fornecem informações comerciais tratam os dados necessários à avaliação da solvabilidade de pessoas ou de empresas, a fim de poderem disponibilizar essas informações aos seus parceiros contratuais. Ora, além de essa atividade proteger os interesses económicos das empresas que pretendem celebrar contratos ligados a um crédito, a determinação da solvabilidade e o fornecimento de informações sobre a solvabilidade constituem a base do crédito e da capacidade de funcionamento da economia. A atividade destas sociedades contribui igualmente para concretizar as pretensões comerciais dos interessados através de operações ligadas ao crédito, dado que as informações permitem um exame rápido e não burocrático dessas operações.

83

A este respeito, embora o tratamento de dados pessoais como o que está em causa nos processos principais sirva os interesses económicos da SCHUFA, esse tratamento também serve para prosseguir o interesse legítimo dos parceiros contratuais da SCHUFA, que pretendem celebrar contratos relativos a um crédito com pessoas, de poder avaliar a solvabilidade destas e, portanto, os interesses do setor de crédito num plano socioeconómico.

84

Com efeito, relativamente aos contratos de crédito aos consumidores, resulta do artigo 8.o da Diretiva 2008/48, lido à luz do seu considerando 28, que, antes da celebração do contrato de crédito, o mutuante deve avaliar a solvabilidade do consumidor com base em informações suficientes, incluindo, se for caso disso, informações provenientes de bases de dados públicas e privadas.

85

Além disso, no que respeita aos contratos de crédito aos consumidores para imóveis de habitação, resulta do artigo 18.o, n.o 1, e do artigo 21.o, n.o 1, da Diretiva 2014/17, lidos à luz dos seus considerandos 55 e 59, que o mutuante deve proceder a uma rigorosa avaliação da solvabilidade do consumidor e que dispõe de acesso às bases de dados de crédito, sendo a consulta dessas bases de dados um elemento útil para efeitos dessa avaliação.

86

Importa acrescentar que a obrigação de avaliar a solvabilidade dos consumidores, conforme prevista nas Diretivas 2008/48 e 2014/17, visa não só proteger o requerente de crédito, mas também, como sublinhado no considerando 26 da Diretiva 2008/48, garantir o bom funcionamento do sistema de crédito no seu todo.

87

Todavia, é ainda necessário que o tratamento de dados seja necessário para a realização dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros e que os interesses ou os direitos e liberdades fundamentais do titular dos dados não prevaleçam sobre este. No âmbito desta ponderação dos direitos e interesses opostos em causa, ou seja, os do responsável pelo tratamento ou de terceiros, por um lado, e os do titular dos dados, por outro, importa ter em conta, como recordado no n.o 80 do presente acórdão, designadamente, as expectativas razoáveis do titular dos dados, o alcance do tratamento em causa e o impacto deste sobre essa pessoa [v. Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 116].

88

No que respeita ao artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, o Tribunal de Justiça declarou que esta disposição deve ser interpretada no sentido de que esse tratamento só pode ser considerado necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, na aceção desta disposição, se for efetuado na estrita medida do necessário para a realização desse interesse legítimo e resultar de uma ponderação dos interesses opostos, à luz de todas as circunstâncias pertinentes, que os interesses ou os direitos ou as liberdades fundamentais desses utilizadores não prevalecem sobre o referido interesse legítimo do responsável pelo tratamento ou de um terceiro [v., neste sentido, Acórdãos de 4 de maio de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, n.o 30, e de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social), C‑252/21, EU:C:2023:537, n.o 126].

89

Neste contexto, o órgão jurisdicional de reenvio faz referência a dois aspetos do tratamento de dados pessoais em causa nos processos principais. Em primeiro lugar, esse tratamento implica uma conservação dos dados sob diversas formas, a saber, não só num registo público, mas também nas bases de dados das sociedades que fornecem informações comerciais, precisando‑se que essas sociedades procedem a essa conservação não por ocasião de um caso concreto, mas na eventualidade de os seus parceiros contratuais lhes pedirem tais informações. Em segundo lugar, as referidas sociedades conservam esses dados durante três anos, com base num código de conduta na aceção do artigo 40.o do RGPD, ao passo que a legislação nacional prevê, no que respeita ao registo público, um prazo de conservação de apenas seis meses.

90

Relativamente ao primeiro destes aspetos, a SCHUFA alega que seria impossível fornecer informações em tempo útil se uma sociedade que fornece informações comerciais fosse obrigada a aguardar um pedido concreto antes de poder começar a recolher dados.

91

A este respeito, incumbe ao órgão jurisdicional de reenvio verificar se a conservação dos dados em causa pela SCHUFA nas suas próprias bases de dados se limita ao estritamente necessário para a realização do interesse legitimamente prosseguido, quando os dados em causa podem ser consultados no registo público e sem que uma empresa comercial tenha pedido informações num caso concreto. Se assim não fosse, a conservação desses dados pela SCHUFA não poderia ser considerada necessária durante o período de disponibilização desses dados ao público.

92

No que se refere ao prazo de conservação dos dados, há que considerar que os exames do segundo e terceiro requisitos recordados no n.o 75 do presente acórdão se confundem, visto que a apreciação da questão de saber se, no caso em apreço, os interesses legítimos prosseguidos pelo tratamento de dados pessoais em causa nos processos principais não podem ser razoavelmente alcançados por um prazo de conservação mais curto dos dados exige uma ponderação dos direitos e dos interesses opostos em causa.

93

Quanto à ponderação dos interesses legítimos prosseguidos, há que salientar que, uma vez que a análise prestada por uma sociedade que fornece informações comerciais torna possível a avaliação objetiva e fiável da solvabilidade dos potenciais clientes dos parceiros contratuais da sociedade que fornece essas informações comerciais, a mesma permite compensar disparidades de informação e, portanto, reduzir os riscos de fraude e outras incertezas.

94

Em contrapartida, no que respeita aos direitos e aos interesses do titular dos dados, o tratamento de dados relativos à concessão de uma remissão da dívida remanescente, por uma sociedade que fornece informações comerciais, como a conservação, a análise e a comunicação desses dados a um terceiro, constitui uma ingerência grave nos direitos fundamentais do titular dos dados, consagrados nos artigos 7.o e 8.o da Carta. Com efeito, esses dados servem como um fator negativo na avaliação da solvabilidade da pessoa em questão e constituem, portanto, informações sensíveis sobre a sua vida privada (v., neste sentido, Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 98). O seu tratamento é suscetível de prejudicar consideravelmente os interesses do titular dos dados, uma vez que essa comunicação pode dificultar sensivelmente o exercício das suas liberdades, nomeadamente quando se trata de satisfazer necessidades básicas.

95

Acrescente‑se que, como salientou a Comissão, quanto mais prolongada for a conservação dos dados em causa por sociedades que fornecem informações comerciais, mais significativas são as consequências para os interesses e a vida privada do titular dos dados e maiores são as exigências relativas à licitude da conservação dessa informação.

96

Por outro lado, importa sublinhar que, como resulta do considerando 76 do Regulamento 2015/848, o objetivo de um registo público de insolvências é melhorar a informação aos credores e aos órgãos jurisdicionais interessados. Neste contexto, o artigo 79.o, n.o 5, deste regulamento limita‑se a prever que os Estados‑Membros informem os titulares dos dados do período de acessibilidade estabelecido para os dados pessoais armazenados nos registos de insolvências, sem fixar um prazo para a conservação desses dados. Em contrapartida, resulta do artigo 79.o, n.o 4, deste regulamento, que os Estados‑Membros são responsáveis, em conformidade com este, pela recolha e pelo armazenamento dos dados pessoais nas bases de dados nacionais. O prazo de conservação desses dados deve, portanto, ser fixado respeitando o referido regulamento.

97

No caso em apreço, o legislador alemão prevê que a informação relativa à concessão de uma remissão da dívida remanescente só seja conservada no registo de insolvências durante seis meses. Considera, portanto, que, depois de expirado o prazo de seis meses, os direitos e os interesses do titular dos dados prevalecem sobre os do público em dispor dessa informação.

98

Além disso, como salientou o advogado‑geral no n.o 75 das suas conclusões, é suposto a remissão da dívida remanescente permitir ao beneficiário participar novamente na vida económica e reveste, portanto, geralmente uma importância existencial para esta pessoa. Ora, a realização deste objetivo ficaria comprometida se as sociedades que fornecem informações comerciais pudessem, para efeitos de avaliação da situação económica de uma pessoa, conservar dados relativos a uma remissão da dívida remanescente e utilizar esses dados depois de terem sido apagados do registo público de insolvências, uma vez que esses dados continuam a ser utilizados como um fator negativo na avaliação da solvabilidade dessa pessoa.

99

Nestas condições, os interesses do setor de crédito em dispor das informações sobre uma remissão da dívida remanescente não podem justificar um tratamento de dados pessoais como o que está em causa nos processos principais além do prazo de conservação dos dados no registo público de insolvências, pelo que a conservação desses dados por uma sociedade que fornece informações comerciais não se pode basear no artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD no que respeita ao período subsequente ao apagamento dos referidos dados de um registo público de insolvências.

100

Relativamente ao período de seis meses durante o qual os dados em causa também estão disponíveis nesse registo público, importa salientar que, embora as incidências de uma conservação paralela desses dados em bases de dados dessas sociedades possam ser consideradas menos graves do que após o decurso dos seis meses, essa conservação constitui, no entanto, uma ingerência nos direitos consagrados nos artigos 7.o e 8.o da Carta. A este respeito, o Tribunal de Justiça já declarou que a presença dos mesmos dados pessoais em várias fontes reforça a ingerência no direito da pessoa à vida privada (v. Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.os 86 e 87). Cabe ao órgão jurisdicional de reenvio ponderar os interesses em causa e o impacto para o titular dos dados, a fim de determinar se se pode considerar que a conservação paralela desses dados por sociedades privadas que fornecem informações comerciais se limita ao estritamente necessário, como exige a jurisprudência do Tribunal de Justiça referida no n.o 88 do presente acórdão.

101

Por último, quanto à existência, como no caso em apreço, de um código de conduta que preveja que uma sociedade que fornece informações comerciais deve suprimir os dados relativos a uma remissão da dívida remanescente decorrido um prazo de três anos, importa recordar que, em conformidade com o artigo 40.o, n.os 1 e 2, do RGPD, os códigos de conduta destinam‑se a contribuir para a correta aplicação deste regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas. Assim, as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar esses códigos, a fim de especificar a aplicação do referido regulamento, tais como, nomeadamente, o tratamento equitativo e transparente, os legítimos interesses responsáveis pelo tratamento em contextos específicos e a recolha de dados pessoais.

102

Além disso, por força do artigo 40.o, n.o 5, do RGPD, um projeto de código é submetido à autoridade de controlo competente, que o aprova se considerar que prevê garantias apropriadas suficientes.

103

No caso em apreço, o código de conduta em causa nos processos principais foi elaborado pela associação que agrupa as sociedades alemãs que fornecem informações comerciais e foi aprovado pela autoridade de controlo competente.

104

Não obstante, embora, em conformidade com o artigo 40.o, n.os 1 e 2, do RGPD, um código de conduta se destine a contribuir para a correta aplicação deste regulamento e a especificar a sua aplicação, não deixa de ser verdade, como salientou o advogado‑geral nos n.os 103 e 104 das suas conclusões, que os requisitos de licitude de um tratamento de dados pessoais fixados por esse código não podem diferir dos requisitos previstos no artigo 6.o, n.o 1, do RGPD.

105

Assim, um código de conduta que conduza a uma apreciação diferente da obtida em aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD não pode ser tomado em consideração na ponderação efetuada ao abrigo desta disposição.

106

Por último, o órgão jurisdicional de reenvio interroga‑se, em substância, sobre as obrigações que, nos termos do artigo 17.o do RGPD, incumbem a uma sociedade que fornece informações comerciais.

107

A este respeito, importa recordar que, em conformidade com o artigo 17.o, n.o 1, alínea d), do RGPD, ao qual se refere o órgão jurisdicional de reenvio, o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e o responsável pelo tratamento tem a obrigação de apagar esses dados pessoais, sem demora injustificada, quando os dados pessoais foram tratados ilicitamente.

108

Por conseguinte, de acordo com a redação clara desta disposição, na hipótese de o órgão jurisdicional de reenvio dever concluir, no termo da sua apreciação sobre a licitude do tratamento dos dados pessoais em causa nos processos principais, que esse tratamento não é lícito, incumbe ao responsável pelo tratamento, neste caso a SCHUFA, apagar os dados em questão sem demora injustificada. Tal seria o caso, em conformidade com o que foi constatado no n.o 99 do presente acórdão, de um tratamento dos dados pessoais efetuado além do prazo de conservação dos dados de seis meses no registo público de insolvências.

109

Quanto ao tratamento efetuado durante o período de seis meses no decurso do qual os dados estão disponíveis no registo público de insolvências, na hipótese de o órgão jurisdicional de reenvio dever concluir que o tratamento estava em conformidade com o artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, o artigo 17.o, n.o 1, alínea c), deste regulamento seria aplicável.

110

Esta última disposição prevê o direito ao apagamento dos dados pessoais quando o titular dos dados se opõe ao tratamento ao abrigo do artigo 21.o, n.o 1, do RGPD e não existe nenhuma «razão imperiosa e legítima para esse tratamento». Por força desta última disposição, o titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, primeiro parágrafo, alíneas e) ou f), do RGPD. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

111

Resulta de uma leitura conjugada destas disposições, como salientou o advogado‑geral no n.o 93 das suas conclusões, que o titular dos dados dispõe de um direito de se opor ao tratamento e de um direito ao apagamento, a menos que existam razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, bem como sobre os direitos e as liberdades desta pessoa, na aceção do artigo 21.o, n.o 1, do RGPD, cabendo ao responsável pelo tratamento demonstrá‑lo.

112

Por conseguinte, se o responsável pelo tratamento não conseguir fazer essa demonstração, o titular dos dados tem o direito de pedir o apagamento desses dados com base no artigo 17.o, n.o 1, alínea c), do RGPD, quando se oponha ao tratamento em conformidade com o artigo 21.o, n.o 1, deste regulamento. Compete ao órgão jurisdicional de reenvio apreciar a existência, a título excecional, de razões imperiosas e legítimas suscetíveis de justificar o tratamento em causa.

113

Tendo em conta todas as considerações precedentes, há que responder à segunda a quinta questões da seguinte forma:

114

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara: