contato

25 de Julho, 2024

TJUE decide que curador é controlador de dados pessoais

image 29

Luxemburgo: O caso envolveu um titular de dados sob curatela, em que o curador era um advogado atuando profissionalmente e fazia parte do seu círculo pessoal. Ele desempenhou suas funções por um período e foi substituído, tendo sido nomeado conforme a legislação alemã (Artigos 1896 e 1897 do BGB).

O titular dos dados solicitou ao Tribunal Local de Hannover (AG Hannover) assistência jurídica para acessar os dados coletados pelo curador durante suas funções. O tribunal rejeitou o pedido, afirmando que o curador, atuando profissionalmente, não era controlador de dados conforme o Artigo 4(7) do GDPR e, portanto, não estava obrigado a responder ao pedido de acesso conforme o Artigo do 15 GDPR. O tribunal destacou que o curador era representante legal do titular dos dados conforme a lei alemã, podendo tratar dados pessoais em nome do titular.

O titular dos dados apelou ao Tribunal Regional de Hannover (LG Hannover), que questionou se um curador profissional se enquadra na definição de controlador de dados e se deve fornecer informações conforme o mencionado Artigo do 15 GDPR, encaminhando as seguintes questões preliminares ao TJUE:

  • Um curador legalmente nomeado que exerce essa atividade profissionalmente é um controlador de dados conforme o Artigo 4(7) do GDPR?
  • Ele deve fornecer informações conforme o Artigo do 15 GDPR?

O TJUE respondeu afirmativamente a ambas as questões.

Primeiramente, o TJUE excluiu a aplicação do Artigo 2(2)(c) do GDPR para a atividade do curador, afirmando que a exceção do GDPR para atividades exclusivamente pessoais ou domésticas não se aplica a atividades profissionais.

Em seguida, o TJUE afirmou que o curador, no exercício de suas funções, determina as finalidades e os meios de tratamento de dados pessoais, sendo assim um controlador de dados conforme o Artigo 4(7) do GDPR.

O TJUE também esclareceu que, apesar de o curador atuar como representante legal do titular dos dados, no caso em questão, o pedido era para acessar dados coletados por um ex-curador, que não mais representa o titular dos dados. Portanto, o ex-curador é considerado um terceiro em relação ao titular dos dados.

Consequentemente, o TJUE determinou que um ex-curador profissional é um controlador de dados e deve cumprir todas as obrigações do GDPR, incluindo responder aos pedidos de acesso conforme o Artigo 15 GDPR.

Comentário: O caso traz à discussão a interessante relação entre a disciplina de proteção de dados pessoais e o Direito de Família. A situação traduz um tipo de relação de tratamento evidentemente diferente daquelas mais observadas no cenário cotidiano. Trata-se de uma pessoa natural enquanto controlador que potencialmente trata somente os dados de um titular. Isso o torna um tipo peculiar de controlador, que também possui o dever de tratar dados de forma ainda mais cuidadosa, diante da condição do titular-curatelado. Esse tipo de relação ultrapassa, e muito, aspectos negociais ou patrimoniais, adentrando em possibilidades de apoios em atividades existenciais, o que pode trazer a necessidade do tratamento de dados sensíveis. É nesse sentido que emerge o direito subjetivo de obter, ao menos, cópias de dados pessoais tratados pelo antigo curador. Embora a decisão não indique quais dados seriam, é fácil imaginar situações em que o curador esteja de posse de dados em diversos suportes (recibos, contratos, resultados de exames, etc). Além do mais, o dever de franquear acesso aos dados pessoais também pode ser encontrado no próprio dever de prestar contas do curador, que se amplia com a aplicabilidade da lei de proteção de dados ao caso concreto.

Com informações Tribunal de Justiça da União Europeia (processo C‑461/22)

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram