Corte Suprema Italiana fortalece proteção de dados pessoais e impõe responsabilidade aos controladores - Lições para a LGPD
Em recente decisão, a Corte Suprema de Cassação da Itália analisou um caso envolvendo a violação do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês). A decisão (Cass. civ., Sez. I, Ord. 12-05-2023, n. 13073) analisou a reclamação apresentada por uma comuna italiana (um ente semelhante ao município brasileiro) contra uma decisão que a condenou a indenizar uma funcionária devido a um tratamento ilegal de dados pessoais.
A funcionário resistiu ao recurso apresentado pela municipalidade, alegando a validade da sentença emitida pelo Tribunal de Pisa n. 1204-2021, datada de 21/09/2021. Alguns pontos da decisão merecem destaque:
Responsabilidade do controlador de dados
A Corte salientou que a responsabilidade do tratamento de dados pessoais recai sobre o controlador de dados, inclusive por ações de seus funcionários. Isto é, independentemente de a violação ter ocorrido devido a um erro humano, distração ou outra razão, a responsabilidade ainda é do controlador.
Dano como consequência da violação do GDPR
O tribunal destacou que, quando ocorre uma violação do GDPR, o dano causado deve ser considerado tanto do ponto de vista material quanto imaterial. Isto se aplica mesmo que a violação seja mínima. O controlador de dados é responsável pela reparação desse dano, independentemente da contribuição do responsável específico.
A relevância do dano
Apesar de a Corte reconhecer que o dano não pode ser presumido (in re ipsa), ela enfatizou que a violação do GDPR que ofende concretamente o direito à proteção dos dados é suficiente para se considerar um dano efetivo. No caso em análise, o contexto de exposição dos dados pessoais ocorreu quando a municipalidade publicou, por um breve período de tempo, em seu site institucional, uma determinação que continha informações de uma funcionária municipal. Embora os dados da devedora tenham sido omitidos na publicação, as informações estavam presentes na nota contábil anexa à determinação, que foi indevidamente divulgada quadro de avisos online da mesma municipalidade.
Conclusão
O recurso apresentado pela municipalidade de (Xxxx) foi rejeitado. A Corte concluiu que a ilegalidade do tratamento de dados pelo controlador nunca foi contestada, e os argumentos apresentados no recurso eram todos irrelevantes ou visavam derrubar os fatos já estabelecidos.
Esta decisão da Corte Suprema Italiana, que se baseia nas diretrizes do GDPR, tem implicações relevantes também para o contexto brasileiro. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece princípios semelhantes de proteção de dados pessoais e responsabilização dos controladores. Portanto, essa decisão reforça a importância da adequação às normas de proteção de dados, tanto na Europa quanto no Brasil, e destaca a necessidade de empresas e instituições adotarem medidas adequadas para evitar violações de dados pessoais e garantir a segurança e privacidade das informações dos indivíduos.
