Uma empresa de consultoria (controlador) foi informada por seus clientes (titulares dos dados) que seu endereço postal havia mudado. Em julho de 2020, os titulares dos dados solicitaram ao controlador a elaboração de sua declaração de imposto do ano anterior. Sem receber resposta, entraram em contato com o controlador, que informou que a declaração de imposto havia sido enviada por correio em setembro de 2020.
Os novos ocupantes do antigo endereço dos titulares dos dados informaram que receberam um envelope com os nomes dos titulares e que o abriram por engano. Ao perceber que os documentos não eram destinados a eles, recolocaram os documentos no envelope e os entregaram a parentes próximos dos titulares dos dados para que pudessem recolhê-lo.
Ao recolherem o envelope, os titulares dos dados descobriram que ele continha apenas uma cópia da declaração de imposto e uma carta de apresentação. Eles presumiram que o envelope também continha a versão original da declaração de imposto, que incluía dados pessoais.
Os titulares dos dados entraram com uma ação no Amtsgericht Wesel (Tribunal Local de Wesel, Alemanha) buscando compensação por danos não materiais sob o Artigo 82 do GDPR, que acreditam ter sofrido devido à divulgação de seus dados pessoais a terceiros. Eles avaliaram os danos em €15.000.
O tribunal local suspendeu o processo e encaminhou as seguintes questões ao CJEU:
- Para reivindicar compensação sob Artigo 82 do GDPR, é necessário estabelecer que ocorreu um efeito adverso adicional ao titular dos dados, além da violação do GDPR em si?
- A reivindicação de compensação por danos não materiais sob Artigo 82 do GDPR requer que o dano atinja certa magnitude?
- É suficiente que o titular dos dados tema que seus dados pessoais tenham chegado às mãos de terceiros, mesmo que isso não possa ser estabelecido positivamente?
- O tribunal nacional deve aplicar ''mutatis mutandis'' os critérios para multas administrativas do Artigo 83 ao avaliar a compensação por danos não materiais sob Artigo 82 do GDPR?
- O valor de uma reivindicação de compensação por danos não materiais deve ser avaliado com referência ao fato de que o valor da reivindicação serve para ter um efeito dissuasivo?
- Ao avaliar o valor de uma reivindicação de compensação por danos não materiais, a violação simultânea de disposições nacionais que se relacionam com dados pessoais, mas que não têm a intenção de especificar as regras do GDPR, deve ser levada em consideração?
Sobre as primeiras e segunda questões
O Artigo 82 do GDPR estabelece que qualquer pessoa que tenha sofrido danos materiais ou não materiais como resultado de uma violação do GDPR tem direito a receber compensação do controlador ou processador pelos danos sofridos.
O CJEU indicou que há três condições cumulativas para o direito à compensação: (i) a existência de uma violação do GDPR, (ii) a existência de um ‘dano’, seja material ou não material, que tenha sido ‘sofrido’ e (iii) um nexo causal entre o dano e a violação. Portanto, o CJEU decidiu que não é qualquer violação do GDPR que confere por si só o direito à compensação ao titular dos dados (§23 da Decisão).
O Tribunal acrescentou que a mera violação das disposições do GDPR não é suficiente para conferir um direito à compensação (§24 da Decisão). Assim, o titular dos dados é obrigado a estabelecer a violação do GDPR e que essa violação causou-lhe danos (§25 da Decisão).
Portanto, o CJEU concluiu que uma violação do GDPR não é, por si só, suficiente para gerar um direito à compensação. O titular dos dados deve também estabelecer a existência de danos causados pela violação, sem que esse dano tenha que atingir um certo grau de gravidade (§28 da Decisão).
Sobre a terceira questão
No presente caso, os titulares dos dados estavam buscando compensação por danos não materiais em relação à perda de controle sobre seus dados pessoais, sem poder estabelecer a extensão em que terceiros realmente tomaram conhecimento desses dados (§30 da Decisão).
O CJEU decidiu que a perda de controle sobre dados pessoais, mesmo por um curto período de tempo, pode constituir um dano não material nos termos do Artigo 82 do GDPR, desde que o titular dos dados possa demonstrar que realmente sofreu esse dano, por menor que seja (§33 da Decisão). No entanto, uma mera alegação de medo sem consequências negativas comprovadas não pode dar origem a compensação (§35 da Decisão).
Portanto, o medo do titular dos dados de que seus dados pessoais foram divulgados a terceiros, sem que seja possível estabelecer que isso de fato ocorreu, é suficiente para dar origem a compensação, se esse medo, com suas consequências negativas, for devidamente comprovado (§36 da Decisão).
Sobre as quarta e quinta questões
Primeiro, o CJEU indicou que o Artigo 83 GDPR determina as condições gerais para a imposição de multas administrativas, enquanto o Artigo 82 GDPR governa o direito à compensação e responsabilidade. Portanto, esses dois artigos perseguem objetivos diferentes (§38 da Decisão). Assim, o CJEU considerou que os critérios estabelecidos no Artigo 83 GDPR não podem ser usados para avaliar o montante dos danos sob Artigo 82 GDPR (§39 da Decisão).
Como o GDPR não define as regras sobre a avaliação dos danos, cabe ao sistema jurídico de cada Estado-Membro prescrever as regras detalhadas sobre os critérios para determinar a extensão da compensação pagável nesse contexto, sujeitas ao cumprimento dos princípios de equivalência e efetividade (§40 da Decisão).
Segundo, o CJEU decidiu que, como o direito à compensação não cumpre uma função dissuasiva ou punitiva, a gravidade da violação não pode influenciar o valor da compensação, e o valor não pode exceder a compensação total por esse dano (§41 da Decisão). No entanto, o CJEU acrescentou que a compensação financeira baseada no Artigo 82 GDPR deve ser considerada ‘completa e eficaz’ se permitir que o dano realmente sofrido seja integralmente compensado, sem necessidade de exigir o pagamento de danos punitivos (§42 da Decisão).
Portanto, o CJEU considerou que, para determinar o valor dos danos devidos como compensação com base no Artigo 82 GDPR, não é necessário aplicar ''mutatis mutandis'' os critérios para fixar o valor das multas administrativas sob Artigo 83 GDPR (§44 da Decisão).
Sobre a sexta questão
Os controladores argumentaram que a violação das disposições do GDPR e da legislação alemã aplicável aos consultores fiscais resultaria em um aumento dos danos reivindicados sob o Artigo 82 GDPR. O CJEU indicou que, de acordo com o considerando 146 GDPR, o processamento de dados pessoais que é realizado em violação do regulamento também inclui o processamento que infringe atos delegados e de implementação adotados em conformidade com o GDPR (§47 da Decisão).
No entanto, o CJEU considerou que o fato de que o processamento foi realizado em violação da legislação nacional relativa à proteção de dados pessoais, mas que não tem a intenção de especificar as regras do GDPR, não é relevante para a avaliação dos danos concedidos sob Artigo 82 GDPR. Portanto, a violação de uma disposição nacional não é abrangida pelo Artigo 82 GDPR (§48 da Decisão).
O CJEU também acrescentou que, se a legislação nacional permitir que um tribunal nacional faça isso, ele pode conceder ao titular dos dados uma compensação maior do que a compensação total e efetiva prevista no Artigo 82 GDPR , se o dano também foi causado pelas disposições da legislação nacional (§49 da Decisão).
Assim, o CJEU concluiu que, para determinar o valor dos danos devidos como compensação sob Artigo 82, não é necessário levar em consideração as violações simultâneas das disposições nacionais que se relacionam com a proteção de dados pessoais, mas que não têm a intenção de especificar o GDPR (§50 da Decisão).
Link para a decisão
Com informações GDPRHub
Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.
