O Tribunal de Justiça da União Europeia (CJEU) confirmou sua jurisprudência sobre o direito de obter uma cópia dos dados pessoais, afirmando que o titular dos dados deve receber uma reprodução fiel e inteligível dos dados, independentemente de a solicitação ser motivada ou não.
Entre maio de 2018 e abril de 2019, diversos clientes de um banco solicitaram cópias de documentos contendo seus dados pessoais, incluindo contratos de empréstimo, planos de pagamento, documentos relativos a alterações nas taxas de juros e extratos de conta. Algumas dessas solicitações foram motivadas pelo desejo de os titulares dos dados ajuizarem ações contra o banco.
O banco recusou fornecer acesso a esses documentos. Os titulares dos dados apresentaram reclamações à Autoridade de Proteção de Dados da Croácia (DPA), alegando violação do artigo 15(3) do GDPR. Como o banco não cumpriu as ordens da DPA em 26 casos específicos, foi-lhe aplicada uma multa de HRK 1.100.000 (€146.667).
O banco argumentou que o artigo 15(3) do GDPR concede apenas o direito a uma cópia dos dados pessoais processados, excluindo os documentos que os contêm. Assim, o banco entrou com uma ação no Tribunal Administrativo de Zagreb contra a multa imposta pela DPA, que suspendeu o processo e submeteu as seguintes questões ao CJEU, assim respondidas:
1. O artigo 15(3) do GDPR obriga o controlador a fornecer ao titular dos dados uma cópia do documento que contém seus dados pessoais?
O CJEU indicou que o artigo 15(3) do GDPR confere ao titular dos dados o direito de obter uma reprodução precisa dos dados pessoais, entendidos de forma ampla, que são objeto de processamento pelo controlador. O termo "cópia" refere-se aos dados pessoais contidos, que devem ser completos. A cópia deve, portanto, incluir todos os dados pessoais processados. O artigo 15 visa fortalecer e esclarecer, assim, os direitos dos titulares dos dados. O direito de acesso deve permitir que o titular verifique se os dados pessoais são precisos e processados legalmente. Desta forma, a cópia fornecida deve apresentar todas as características que permitam ao titular exercer efetivamente seus direitos sob o GDPR.
2. O controlador pode rejeitar uma solicitação de acesso feita com o intuito de obter documentação para auxiliar o titular dos dados em ações legais contra o controlador?
O CJEU afirmou que o artigo 15(1) e (3) do GDPR não condiciona a provisão de uma cópia dos dados pessoais à necessidade de o titular justificar o pedido de acesso. Portanto, o controlador não pode exigir que o titular informe os motivos do pedido.
O CJEU considerou que o pedido não deve ser recusado se tiver um objetivo diferente de tomar conhecimento do processamento dos dados e verificar sua legalidade. O fato de os dados serem processados em conformidade com uma obrigação legal não influencia o alcance desse direito, pois o GDPR não condiciona o direito de acesso ao motivo do processamento.
Ao fim, o CJEU concluiu que o direito do titular de obter uma cópia dos dados pessoais implica fornecer uma reprodução verdadeira e inteligível dos dados, incluindo a cópia completa dos documentos que contenham os dados, se necessário para verificar a precisão e a completude dos dados. Concluiu também que a obrigação de fornecer uma cópia dos dados pessoais do titular é vinculativa para o controlador, mesmo quando o pedido é motivado por um propósito diferente dos mencionados no primeiro parágrafo do considerando 63 do GDPR.
Com informações GDPRHub
Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.
