Quando existe - e quando não existe - o direito a uma indemnização por danos e prejuízos por infração das normas sobre dados pessoais segundo o TJUE?

O Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), estabeleceu o direito de as pessoas que tenham sofrido danos materiais ou imateriais devido a uma infração serem indemnizadas por esses danos (artigo 82.º).

Previu também a possibilidade de tutela coletiva perante este tipo de infrações, de modo que os afetados possam autorizar determinadas entidades, organizações ou associações sem fins lucrativos a apresentar reclamações em seu nome (artigo 80.º).

Neste contexto, surgiram dúvidas sobre os pressupostos do referido direito a uma indemnização, o que deu lugar à apresentação junto do TJUE de diversas questões prejudiciais, até agora em relação a ações individuais.

As questões suscitadas junto do TJUE pelos tribunais nacionais foram muito variadas: desde se a existência de infração das normas sobre dados pessoais dá lugar, em qualquer caso, a um direito à indemnização, até qual é o regime de responsabilidade, passando pelas causas de exoneração, entre outras.

E essas dúvidas colocaram-se em diversas situações, tais como: tratamento não consentido de dados relativos a afinidades políticas (acórdão de 4 de maio de 2023, processo C-300/21, Österreichische Post AG); reclamação em caso de ciberataque e publicação dos dados pessoais na Internet como consequência daquele (acórdão de 14 de dezembro de 2023, processo C‑340/21 Natsionalna agentsia za prihodite); divulgação sem consentimento de dados pessoais num site de uma autarquia local, mais concretamente na ordem do dia de uma sessão do Conselho Municipal em relação a uma acórdão judicial (acórdão também de 14 de dezembro de 2023, processo C-456/22, Gemeinde Ummendorf); tratamento por um empregador de dados relativos à saúde de um trabalhador (acórdão de 21 de dezembro de 2023, processo C-667/21, Medizinischer Dienst der Krankenversicherung Nordrhein); entrega por erro a um terceiro dos documentos de uma compra em que constavam dados pessoais, incluindo bancários e receitas de um cliente (acórdão de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn); receção de comunicações comerciais, apesar de o titular ter declarado expressamente a sua oposição às mesmas (acórdão de 11 de abril de 2024, processo C-741/21, juris GmbH); divulgação a terceiros, por erro, da declaração tributária dos afetados (acórdão de 20 de junho de 2024, processo C-590/22, PS); roubo por terceiros de dados pessoais registados numa aplicação de negociação com valores (acórdão também de 20 de junho de 2024, C-182/22 e C-189/22, Scalable Capital); difusão de uma sequência de vídeo cujo personagem imitava o requerente, que era um conhecido jornalista, sem que este tivesse dado o seu consentimento (acórdão de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs); ou publicação de dados pessoais não exigidos legalmente no Registo Comercial de um Estado-Membro (acórdão também de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata).

Embora continuem a ser levantadas questões prejudiciais, podem ser extraídos das decisões do TJUE proferidas até ao momento os critérios indicados a seguir. 

Critérios do TJUE

1. Não existe um “direito automático a ser indemnizado” como consequência de uma violação das normas de proteção de dados

A mera existência de uma violação das normas de proteção de dados não gera automaticamente um direito a ser indemnizado. Para isso, é necessário que concorram, de forma cumulativa, os seguintes três requisitos: i) a existência de uma infração das disposições do RGPD; ii) que o afetado tenha sofrido danos e prejuízos; e iii) uma relação de causalidade entre a infração e os danos e prejuízos.

Assim o definiu o TJUE claramente, pela primeira vez, na acórdão de 4 de maio de 2023, processo C-300/21, Österreichische Post AG (pp. 32 – 36 e 42) e assim continuou, sem desvios, nas decisões posteriores (acórdãos de 14 de dezembro de 2023, processo C‑340/21 Natsionalna agentsia za prihodite, p. 77; também de 14 de dezembro de 2023, processo C‑456/22, Gemeinde Ummendorf, p. 14; de 21 de dezembro de 2023, processo C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, p. 82; de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, p. 58; de 11 de abril de 2024, processo C-741/21, juris GmbH, p. 34; de 20 de junho de 2024, processo C-590/22, PS, pp. 22 e 24-25; também de 20 de junho de 2024, C-182/22 e C-189/22, Scalable Capital, pp. 41-42 e 57; de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 24 e 26-27) ou também de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, pp. 140 e 159).

2. Enquanto o conceito de danos e prejuízos indemnizáveis se rege pelo direito da União, o montante dos danos será determinado de acordo com cada direito nacional

Na medida em que não haja uma remissão expressa para o direito dos Estados-Membros, o conceito de “danos e prejuízos materiais ou imateriais” e o conceito de “indemnização pelos danos e prejuízos sofridos” previsto no artigo 82.º do RGPD terão de ser objeto de interpretação autónoma. Ou seja, que a interpretação a fazer se regule pelo direito da União, devendo interpretar-se de modo uniforme em todos os Estados-Membros, não tendo de coincidir com a interpretação que, relativamente aos referidos conceitos, poderia ser feita de acordo com a legislação nacional de cada Estado-Membro (acórdãos 4 de maio de 2023, processo C-300/21, Österreichische Post AG, pp. 29-30 e 44 ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 139).

No entanto, e na medida em que o RGPD não contém qualquer disposição a esse propósito, a determinação ou quantificação da indemnização reger-se-á de acordo com o direito nacional de cada Estado-Membro, devendo respeitar-se, em qualquer caso, os princípios de equivalência e eficácia (acórdãos de 4 de maio de 2023, processo C-300/21, Österreichische Post AG, pp. 54 e 59; de 21 de dezembro de 2023, processo C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp. 83 e 101; de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, p. 53; de 11 de abril de 2024, processo C-741/21, juris GmbH, pp. 58 e 63; de 20 de junho de 2024, processo C-590/22, PS, p. 40; também de 20 de junho de 2024, C‑182/22 e C‑189/22, Scalable Capital, pp. 27 e 33; de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, p. 32 e também de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 152).

Mais concretamente, como sublinhou a doutrina mais acolhida, em situações transfronteiriças, serão as normas de conflitos de cada Estado-Membro que determinarão a legislação nacional aplicável, pois o Regulamento (CE) n.° 864/2007 relativo à lei aplicável às obrigações extracontratuais (Regulamento Roma II) exclui do seu âmbito de aplicação as obrigações extracontratuais que decorram da violação da vida privada e dos direitos de personalidade (artigo 1.º, n.º 2, alínea g) do Regulamento Roma II). Em Espanha, a norma de conflitos aplicável será o artigo 10.º, n.º 9 do Código Civil (que dispõem que “as obrigações não contratuais serão reguladas pela lei do lugar onde tenha ocorrido o facto de que decorram”).

A isto acresce que, segundo o artigo 79.º, n.º 2 do RGPD, serão competentes tanto os tribunais do Estado-Membro em que o responsável ou encarregado tenha um estabelecimento, como os tribunais do Estado-Membro em que o titular tenha a sua residência habitual (salvo se o responsável ou encarregado for uma autoridade pública de um Estado-Membro que atue no exercício dos seus poderes públicos). E esta dualidade de foros (além de se aplicarem eventualmente os previstos no Regulamento (UE) n.º 1215/2012 do Parlamento Europeu e do Conselho, de acordo com o Considerando 147 do RGPD) poderia levar a situações de forum shopping, de modo a recorrer aos tribunais da jurisdição que possa ser mais favorável.

3. Alcance da indemnização

a. Danos e prejuízos materiais ou imateriais

O titular terá direito a ser indemnizado tanto pelos danos e prejuízos materiais como pelos danos imateriais sofridos (como, por exemplo, danos morais), sem que se exija que atinjam um determinado limiar de gravidade (acórdãos de 4 de maio de 2023, processo C-300/21, Österreichische Post AG -pp. 45 – 51-; de 14 de dezembro de 2023, processo C‑340/21 Natsionalna agentsia za prihodite p. 78; de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, pp. 59 e 60; de 11 de abril de 2024, processo C-741/21, juris GmbH, pp. 36 e 41; de 20 de junho de 2024, processo C-590/22, PS, p. 26; também de 20 de junho de 2024, C‑182/22 e C‑189/22, Scalable Capital, p. 44; ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 149).

O próprio RGPD (Considerando 85) destaca que “[s]e não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares”.

Para que o dano seja indemnizável, terá de ser comprovada a sua existência e consequências negativas (acórdãos de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, pp. 60 e 61; de 20 de junho de 2024, processo C-590/22, PS, pp. 34 e 35; ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, pp. 141-142).

O receio que um afetado sente de um potencial uso indevido por terceiros dos seus dados pessoais no futuro, na sequência de uma infração, poderia constituir um dano imaterial indemnizável, embora tenha de se comprovar que esse receio tem fundamento (acórdãos de 14 de dezembro de 2023, processo C‑340/21 Natsionalna agentsia za prihodite, pp. 83-85; de 20 de junho de 2024, processo C-590/22, PS, p. 32; ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, pp. 143-144).

Além disso, a perda de controlo sobre os dados pessoais durante um breve período de tempo poderá provocar ao titular “danos e prejuízos imateriais” que dêem lugar a um direito a ser indemnizado, se o titular demonstrar que sofreu efetivamente esses danos e prejuízos, por mínimos que sejam (acórdãos de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, p. 66; de 20 de junho de 2024, processo C-590/22, PS, p. 33; ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 150).

Como se indicou anteriormente, a mera infração das normas de proteção de dados não confere aos afetados, per se, o direito a exigir uma indemnização ao infrator. É necessário que comprovem que sofreram efetivamente os danos e prejuízos reclamados, mesmo quando estes sejam de pouca monta (acórdão de 14 de dezembro de 2023, processo C‑456/22, Gemeinde Ummendorf, p. 22). Assim, um risco meramente hipotético de uso indevido dos dados pessoais por um terceiro não autorizado não pode dar lugar a indemnização se, por exemplo, se demonstrar que nenhum terceiro teve conhecimento dos dados pessoais em causa (acórdão de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, p. 68).

Por fim, o TJUE estabeleceu que, quando o prejuízo sofrido pelo titular não tenha gravidade, o órgão jurisdicional nacional poderá reconhecer uma indemnização mínima, sempre que tal montante pouco elevado de indemnização concedido nesses termos possa ressarcir integralmente o prejuízo (acórdãos de 20 de junho de 2024, C-182/22 e C-189/22, Scalable Capital, pp. 45-46 e de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, p. 35). Mesmo a apresentação de um pedido de desculpa poderia constituir uma reparação autónoma ou complementar de um dano moral, conforme previsto no direito nacional aplicável; em particular quando seja impossível restabelecer a situação anterior à ocorrência do dano e sempre que esta forma de reparação possa compensar integralmente o prejuízo sofrido pelo titular (acórdão de 4 de outubro de 2024, processo C-507/23, Patērētāju thiesību aizsardzības centrs, pp. 36 y 37).

b. Função compensatória, não punitiva

O direito a ser indemnizado, previsto no artigo 82.º do RGPD, tem uma função compensatória, de modo que a indemnização pecuniária deve compensar integralmente os danos e prejuízos sofridos como consequência da infração. Assim, não se enquadra neste direito impor o pagamento de indemnizações de carácter punitivo (acórdão de 4 de maio de 2023, processo C-300/21, Österreichische Post AG, pp. 57 e 58; de 21 de dezembro de 2023, processo C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, p. 84 e 102; de 25 de janeiro de 2024, processo C-687/21, MediaMarktSaturn, p. 47; de 11 de abril de 2024, processo C-741/21, juris GmbH, pp. 60 e 61; de 20 de junho de 2024, processo C-590/22, PS, pp. 41-42; de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, p. 34 ou também de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 153).

Na medida em que a imposição de sanções administrativas, por um lado, e a determinação de indemnizações, por outro, respondem a âmbitos normativos distintos, não se aplicam a estas últimas os critérios daquelas (acórdãos de 11 de abril de 2024, processo C-741/21, juris GmbH, p. 57; de 21 de dezembro de 2023, processo C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp. 85 e 86, de 20 de junho de 2024, processo C-590/22, PS, p. 43; também de 20 de junho de 2024, C‑182/22 e C‑189/22, Scalable Capital, pp. 22, 39 e 44; ou de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 39 a 41).

Deste modo, e dada a função exclusivamente compensatória da indemnização, elementos como o nível de gravidade ou o carácter eventualmente doloso da infração por parte do responsável pelo tratamento não serão tidos em conta para efeitos da reparação do dano, mas apenas o prejuízo sofrido pelo titular (acórdãos de 11 de abril de 2024, processo C-741/21, juris GmbH, p. 64; de 20 de junho de 2024, C‑182/22 e C‑189/22, Scalable Capital, pp. 28-30; ou de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 42-43), sem que se possa considerar, em princípio, que as lesões corporais são, pela sua própria natureza, mais importantes do que os danos imateriais (acórdãos de 20 de junho de 2024, C‑182/22 y C‑189/22, Scalable Capital, pp. 38 e 39 ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 151).

Por sua vez, nem a atitude e a motivação do responsável pelo tratamento devem ser tidos em conta para conceder uma indemnização de um “nível inferior” à compensação integral do prejuízo sofrido pelo titular (acórdão de 4 de outubro de 2024, processo C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 44-45).

c. O regime de responsabilidade por culpa com inversão do ónus da prova

O afetado terá de comprovar a existência da infração e dos danos e prejuízos sofridos, enquanto o responsável pelo tratamento dos dados pessoais ou o subcontratante terá de provar a ausência de culpa no facto que originou os danos e prejuízos se pretender exonerar-se de responsabilidade, pois presume-se a existência de culpa (acórdãos de 21 de dezembro de 2023, processo C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp- 93-94, 98-99 e 103; de 11 de abril de 2024, processo C-741/21, juris GmbH, pp. 46 e 47; de 20 de junho de 2024, C-182/22 e C-189/22, Scalable Capital p. 28; ou de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, p. 154 e pp.160-164) ou a falta de relação de causalidade entre a eventual infração de proteção de dados e os danos e prejuízos sofridos pelo titular (acórdão de 14 de dezembro de 2023, Natsionalnaagentsia za prihodite, C‑340/21, pp. 70 e 72).

Deste modo, quando a violação da segurança dos dados pessoais tenha sido praticada por cibercriminosos, o responsável pelo tratamento pode ficar exonerado de responsabilidade, se demonstrar que não incumpriu as obrigações de proteção de dados a que está sujeito (acórdão de 14 de dezembro de 2023, Natsionalnaagentsia za prihodite, C‑340/21, pp. 70-72).

Por sua vez, o responsável pelo tratamento não se iliba alegando negligência ou incumprimento de uma pessoa que atue sob a sua autoridade, na medida em que lhe cabe certificar-se de que os seus funcionários aplicam corretamente as suas instruções (acórdão de 11 de abril de 2024, processo C-741/21, juris GmbH, pp. 49 e 52). Como também não exonera de responsabilidade a existência de um parecer consultivo e não vinculativo emitido por uma autoridade de controlo dirigido ao responsável pelo tratamento (acórdão de 4 de outubro de 2024, processo C-200/23, Agentsia po vpisvaniyata, pp. 174 - 176).

Conclusão

Não são raros os casos em que os afetados por violações de dados pessoais procuram apurar a responsabilidade civil de quem incorreu na violação correspondente.

Por isso, é fundamental ter em conta a delimitação de responsabilidades que o TJUE tem vindo a fazer, uma vez que a mera existência de uma violação da regulamentação sobre dados pessoais não determina automaticamente que surja uma obrigação de indemnização, mas esta só existirá quando, de forma efetiva e causal, tenham ocorrido danos para os afetados, que terão ser comprovados, por mínimos que sejam. Além disso, as indemnizações devem destinar-se a compensar os danos e prejuízos sofridos, mas não podem, em caso algum, ter um carácter punitivo ou dissuasor.