Luxemburgo: O caso envolveu um titular de dados sob curatela, em que o curador era um advogado atuando profissionalmente e fazia parte do seu círculo pessoal. Ele desempenhou suas funções por um período e foi substituído, tendo sido nomeado conforme a legislação alemã (Artigos 1896 e 1897 do BGB).
O titular dos dados solicitou ao Tribunal Local de Hannover (AG Hannover) assistência jurídica para acessar os dados coletados pelo curador durante suas funções. O tribunal rejeitou o pedido, afirmando que o curador, atuando profissionalmente, não era controlador de dados conforme o Artigo 4(7) do GDPR e, portanto, não estava obrigado a responder ao pedido de acesso conforme o Artigo do 15 GDPR. O tribunal destacou que o curador era representante legal do titular dos dados conforme a lei alemã, podendo tratar dados pessoais em nome do titular.
O titular dos dados apelou ao Tribunal Regional de Hannover (LG Hannover), que questionou se um curador profissional se enquadra na definição de controlador de dados e se deve fornecer informações conforme o mencionado Artigo do 15 GDPR, encaminhando as seguintes questões preliminares ao TJUE:
- Um curador legalmente nomeado que exerce essa atividade profissionalmente é um controlador de dados conforme o Artigo 4(7) do GDPR?
- Ele deve fornecer informações conforme o Artigo do 15 GDPR?
O TJUE respondeu afirmativamente a ambas as questões.
Primeiramente, o TJUE excluiu a aplicação do Artigo 2(2)(c) do GDPR para a atividade do curador, afirmando que a exceção do GDPR para atividades exclusivamente pessoais ou domésticas não se aplica a atividades profissionais.
Em seguida, o TJUE afirmou que o curador, no exercício de suas funções, determina as finalidades e os meios de tratamento de dados pessoais, sendo assim um controlador de dados conforme o Artigo 4(7) do GDPR.
O TJUE também esclareceu que, apesar de o curador atuar como representante legal do titular dos dados, no caso em questão, o pedido era para acessar dados coletados por um ex-curador, que não mais representa o titular dos dados. Portanto, o ex-curador é considerado um terceiro em relação ao titular dos dados.
Consequentemente, o TJUE determinou que um ex-curador profissional é um controlador de dados e deve cumprir todas as obrigações do GDPR, incluindo responder aos pedidos de acesso conforme o Artigo 15 GDPR.
Comentário: O caso traz à discussão a interessante relação entre a disciplina de proteção de dados pessoais e o Direito de Família. A situação traduz um tipo de relação de tratamento evidentemente diferente daquelas mais observadas no cenário cotidiano. Trata-se de uma pessoa natural enquanto controlador que potencialmente trata somente os dados de um titular. Isso o torna um tipo peculiar de controlador, que também possui o dever de tratar dados de forma ainda mais cuidadosa, diante da condição do titular-curatelado. Esse tipo de relação ultrapassa, e muito, aspectos negociais ou patrimoniais, adentrando em possibilidades de apoios em atividades existenciais, o que pode trazer a necessidade do tratamento de dados sensíveis. É nesse sentido que emerge o direito subjetivo de obter, ao menos, cópias de dados pessoais tratados pelo antigo curador. Embora a decisão não indique quais dados seriam, é fácil imaginar situações em que o curador esteja de posse de dados em diversos suportes (recibos, contratos, resultados de exames, etc). Além do mais, o dever de franquear acesso aos dados pessoais também pode ser encontrado no próprio dever de prestar contas do curador, que se amplia com a aplicabilidade da lei de proteção de dados ao caso concreto.
Com informações Tribunal de Justiça da União Europeia (processo C‑461/22)
Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart
