O Tribunal de Justiça da União Europeia (CJEU) determinou que os danos causados por uma violação de dados pessoais não são, por natureza, menos significativos do que uma lesão física. Além disso, para que um evento seja considerado roubo de identidade, os dados pessoais devem ter sido efetivamente usados por um terceiro.
No caso, a Scalable Capital (‘controlador’) gerenciava um aplicativo de negociação no qual o titular dos dados abriu contas e inseriu dados pessoais. Em 2020, esses dados foram capturados por terceiros cuja identidade permanece desconhecida. Segundo o controlador, esses dados não foram usados de forma fraudulenta.
Os titulares dos dados entraram com uma ação no Amtsgericht München (Tribunal Local de Munique, Alemanha) buscando compensação por danos não materiais supostamente sofridos devido ao roubo de seus dados pessoais. O tribunal suspendeu o processo e decidiu encaminhar as seguintes questões ao CJEU:
- O direito à compensação, conforme o Artigo 82 do GDPR, tem uma função exclusivamente compensatória ou também satisfatória?
- O direito à compensação tem uma função de satisfação individual, entendida como o interesse privado da parte lesada em ver o comportamento que causou o dano penalizado? Ao determinar a compensação, considera-se o peso adicional de infrações deliberadas ou gravemente negligentes à proteção de dados?
- A compensação por danos não materiais deve ser determinada com base em uma ordem estrutural de precedência que atribui menos peso aos efeitos prejudiciais de uma infração de dados do que aos efeitos prejudiciais e dolorosos associados a uma lesão física?
- Um tribunal nacional pode conceder apenas uma compensação mínima devido à natureza não séria do dano?
- O roubo de identidade, conforme o considerando 75 GDPR, exige que o infrator tenha realmente assumido a identidade do titular dos dados, ou a mera posse desses dados constitui roubo de identidade?
Sobre as primeiras duas questões
O CJEU destacou que já decidiu que o Artigo 82 do GDPR tem uma função compensatória e não punitiva (§22 da Decisão). Assim, o direito à compensação, especialmente em caso de danos não materiais, tem uma função exclusivamente compensatória, devendo a compensação financeira permitir que o dano sofrido seja integralmente ressarcido (§23 da Decisão).
A responsabilidade do controlador sob o referido artigo pressupõe culpa, a menos que o controlador prove que não é responsável pelo evento que causou o dano. O Artigo 82 não exige que a gravidade da culpa seja considerada ao definir o valor da compensação (§28 da Decisão). Contudo, o valor deve ser fixado de forma a compensar integralmente o dano sofrido (§29 da Decisão).
Portanto, o CJEU concluiu que a gravidade e a natureza intencional da infração ao GDPR não precisam ser levadas em conta para fins de compensação (§30 da Decisão).
Sobre a terceira questão
O CJEU observou que o GDPR não define regras para a avaliação dos danos sob o Artigo 82 GDPR. Na ausência de legislação da UE, cabe ao sistema jurídico de cada Estado-Membro definir os critérios para determinar a compensação, respeitando os princípios de equivalência e efetividade (§33 da Decisão).
A compensação financeira sob o Artigo 82 deve ser "completa e efetiva" se permitir que o dano sofrido seja integralmente compensado (§35 da Decisão). Os considerandos 75 e 85 GDPR indicam várias circunstâncias que podem ser classificadas como "dano físico, material ou não material" sem estabelecer uma hierarquia entre elas (§37 da Decisão). O CJEU também indicou que esses considerandos não sugerem que o dano decorrente de uma violação de dados seja, por natureza, menos significativo que uma lesão física (§38 da Decisão).
Portanto, o CJEU considerou que os danos causados por uma violação de dados pessoais não são, por natureza, menos significativos que os danos causados por uma lesão física (§39 da Decisão).
Sobre a quarta questão
O CJEU reiterou que o requerente da compensação por danos não materiais sob o Artigo 82 do GDPR deve estabelecer a violação do GDPR e que essa violação causou dano, o qual não pode ser presumido apenas pela ocorrência da infração (§§41 e 42 da Decisão).
O CJEU também afirmou que o GDPR não exige que o dano alegado atinja um "limiar de minimis" para gerar direito à compensação. No entanto, isso não impede que os tribunais nacionais concedam compensação de pequeno valor, desde que essa compensação cubra integralmente o dano sofrido (§44 da Decisão).
Portanto, o CJEU concluiu que, quando o dano é estabelecido, um tribunal nacional pode, se o dano não for grave, compensá-lo concedendo uma compensação mínima ao titular dos dados, desde que a compensação cubra integralmente o dano sofrido (§46 da Decisão).
Sobre a quinta questão
O CJEU apontou que o conceito de roubo de identidade não é definido expressamente no GDPR. No entanto, os considerandos 75 e 85 GDPR referem-se ao roubo de identidade como parte de uma lista não exaustiva de consequências do processamento de dados pessoais que podem causar danos (§54 da Decisão).
O CJEU observou que os termos relacionados ao roubo de identidade são usados de forma intercambiável nas diferentes línguas dos recitais, sem distinção (§55 da Decisão).
O roubo de dados pessoais, por si só, não constitui roubo ou fraude de identidade (§56 da Decisão). No entanto, o CJEU especificou que a compensação por danos não materiais causados pelo roubo de dados pessoais não se limita a casos de roubo ou fraude de identidade. O roubo de dados pode gerar direito à compensação se forem atendidas as três condições cumulativas: (1) existência de violação do GDPR, (2) existência de dano sofrido e (3) vínculo causal entre o dano e a violação.
Portanto, o CJEU concluiu que, para dar direito à compensação, o roubo de identidade implica que a identidade do titular dos dados foi efetivamente usada por um terceiro. No entanto, a compensação por danos não materiais causados pelo roubo de dados pessoais não se limita a casos de roubo ou fraude de identidade (§58 da Decisão).
Com informações GDPRHub e CJEU
Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.
