Notícias

Home  »   Publicações  »   Notícias  »  Decisão inovadora na Europa: CJEU nega limiar mínimo para a apresentação de pedidos de indenização não monetários do GDPR
10 de maio de 2023

Decisão inovadora na Europa: CJEU nega limiar mínimo para a apresentação de pedidos de indenização não monetários do GDPR

por CCHDC

Em 4 de maio de 2023, o Tribunal de Justiça Europeu (“CJEU “) publicou sua decisão (processo C-300/21) na qual decidiu que não é qualquer violação do Regulamento Geral de Proteção de Dados (“GDPR”) que desencadeia o direito à indenização previsto no art. 82 do GDPR. O Tribunal de Justiça considerou que o direito à indenização previsto no art. O art. 82 do GDPR exige (i) uma violação do GDPR, (ii) um dano causado ao indivíduo afetado e (iii) um nexo de causalidade entre a infração e o dano. O CJEU decidiu ainda que não existe um limiar mínimo para os pedidos de indenização. A legislação nacional dos Estados-Membros deve definir os critérios de avaliação dos danos, assegurando simultaneamente que a reparação de um dano seja abrangente e eficaz.

O que aconteceu?

A partir de 2017, o Austrian Post (Österreichische Post), uma empresa de endereços comerciais, coletou informações sobre as afinidades políticas dos indivíduos usando um algoritmo que considerou várias características sociais e demográficas. Os dados assim gerados foram vendidos a várias organizações para publicidade direcionada. Durante as suas atividades, o Austrian Post identificou uma elevada afinidade do demandante com um determinado partido político austríaco, com base na extrapolação estatística dos dados recolhidos. Esta informação não foi transmitida a terceiros. No entanto, o demandante – que não consentiu com o processamento – sentiu-se ofendido pelo fato de lhe ter sido atribuída afinidade com determinada parte. Ele argumentou ainda que, o armazenamento de dados sobre suas supostas opiniões políticas pelo Austrian Post lhe causou grande transtorno, perda de confiança e sensação de estar exposto. Por conseguinte, o demandante distribuiu uma ação contra o Austrian Post com vista a obter (i) uma providência cautelar para colocar termo ao tratamento de dados controvertido e (ii) o pagamento de 1.000,00 euros a título de indenização pelos danos não patrimoniais.

O Supremo Tribunal austríaco não deu provimento ao recurso interposto pelo Austrian Post contra a injunção que lhe foi imposta, mas submeteu as seguintes questões ao CJEU no âmbito do processo de recurso contra a improcedência do pedido de indenização:

  1. A atribuição de uma indenização nos termos do artigo 82.º do GDPR também exige, para além da violação das disposições do GDPR, que um requerente tenha sofrido danos, ou a violação das disposições do GDPR é, por si só, suficiente para a atribuição de indenização?
  2. A avaliação da compensação depende de outros requisitos da legislação da UE, para além dos princípios da eficácia e da equivalência?
  3. É compatível com o direito da União considerar que a atribuição de uma indenização por danos não patrimoniais pressuponha a existência de uma consequência (ou efeito) da violação de, pelo menos, algum peso que ultrapasse o incomodo causado por essa violação?

Implicações e principais conclusões da decisão para os controladores?

Qualquer empresa estabelecida na União Europeia (“UE”) ou que esteja de outra forma sujeita ao GDPR, por exemplo uma empresa que oferece bens e serviços a indivíduos na UE, pode estar sujeita a uma reclamação de danos ao abrigo do GDPR. Assim, esta decisão pode dizer respeito a qualquer empresa com ligações à UE. O risco de reclamações por danos é particularmente elevado em caso de violações de dados e quando os indivíduos exercem os seus direitos ao abrigo do GDPR, como direitos de acesso.

É improvável que essa decisão faça com que a disputa sobre a interpretação correta das reivindicações de danos sob o GDPR desapareça completamente. No entanto, esclarece que não é necessário um limite de materialidade e que a violação do GDPR, por si só, não desencadeia uma reclamação de danos. A decisão irá provavelmente desencadear uma divergência sobre a questão de saber se, e em que condições, um dano não patrimonial se justifica, e esperamos uma abordagem dispersa em toda a UE.

 

Fundamentos da decisão

Critérios para Reclamações de Danos

  • O GDPR distingue entre o termo “dano” e “infração”, de modo que uma violação das disposições do GDPR, em si, não dá automaticamente origem a um direito a indenização.
  • Há três condições que devem ser cumulativamente preenchidas para reclamar indenização nos termos dos arts. 82 do GDPR, a saber;
    • um tratamento de dados pessoais que infrinja as disposições do GDPR;
    • um dano sofrido pelo indivíduo; e
    • um nexo de causalidade entre o tratamento ilícito e o dano.
  • O pedido de indenização difere de outros recursos, como multas administrativas, que têm finalidade punitiva e não estão condicionadas à existência de danos individuais.

Limiar de Seriedade

O pedido de danos (imateriais) não requer um certo limiar de gravidade a ser atingido (ou seja, não há necessidade de atingir um certo nível de materialidade) – uma interpretação divergente contradiria a intenção do GDPR de interpretar o conceito de dano de forma ampla, para estar em coerência com os objetivos do GDPR de um alto nível de proteção dos indivíduos e uma aplicação consistente e uniforme do GDPR.

Os indivíduos afetados por uma violação do GDPR devem demonstrar que a violação do GDPR causou um dano (não material).

Avaliação de Danos

  • O GDPR não contém qualquer disposição que defina as regras sobre a avaliação dos danos a que um indivíduo tem direito em resultado de uma violação do GDPR. Na ausência de tais disposições, cabe ao sistema jurídico de cada Estado-Membro prescrever as regras pormenorizadas que regem as ações de salvaguarda de pedidos de indenização, nos termos do art. 82 do GDPR, incluindo os critérios para determinar o alcance da compensação devida neste contexto. No entanto, estes sistemas devem respeitar os princípios da equivalência (os procedimentos para as vias de recurso de acordo com o direito da União não devem ser menos favoráveis do que os que regem questões nacionais semelhantes) e da eficácia (os procedimentos aplicados não tornam excessivamente difícil ou impossível, na prática, o exercício dos direitos ao abrigo do direito da União).
  • À luz da função compensatória do pedido de dano, a compensação financeira com base no art. 82 do GDPR deve ser considerada “plena e eficaz” se permitir que o dano sofrido seja ressarcido na sua totalidade – o que não exige o pagamento de indenizações punitivas.
  • Os tribunais nacionais devem aplicar as regras dos Estados-Membros relativas ao âmbito da compensação financeira, desde que sejam respeitados os princípios da equivalência e da eficácia do direito da União.

Procedimentos adicionais

O tribunal de recurso austríaco terá agora de decidir se um pedido de indenização no montante de 1.000,00 euros se justifica nos termos desta decisão. Até agora, o tribunal também terá que decidir se um indivíduo sofre danos imateriais se se sentir ofendido, muito irritado, perder a confiança ou se sentir exposto pelas atividades de processamento em questão.

Fonte: Orrick

Deixe um comentário:

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *