CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

20 de junho de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 82.o — Direito de indemnização pelo dano causado por um tratamento de dados que viole este regulamento — Conceito de “danos imateriais” — Indemnização de natureza sancionatória ou a título de pura compensação e satisfação — Indemnização mínima ou simbólica — Roubo de dados pessoais conservados numa aplicação de negociação — Roubo ou usurpação da identidade»

Nos processos apensos C‑182/22 e C‑189/22,

que têm por objeto pedidos de decisão prejudicial apresentados, nos termos do artigo 267.^o TFUE, pelo Amtsgericht München (Tribunal de Primeira Instância de Munique, Alemanha), por Decisões de 3 de março de 2022, que deram entrada no Tribunal de Justiça em 10 e 11 de março de 2022, nos processos

JU (C‑182/22),

SO (C‑189/22)

contra

Scalable Capital GmbH,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: K. Jürimäe, presidente de secção, N. Piçarra e N. Jääskinen (relator), juízes,

advogado‑geral: A. M. Collins,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

– em representação de SO, por M. Ruigrok van de Werve, Rechtsanwalt,

– em representação da Scalable Capital GmbH, por C. Mekat, Rechtsanwalt,

– em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e M. Tierney, na qualidade de agentes, assistidos por D. Fennelly, BL,

– em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 26 de outubro de 2023,

profere o presente

Acórdão

1 Os pedidos de decisão prejudicial têm por objeto a interpretação do artigo 82.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1) (a seguir «RGPD»).

2 Estes pedidos foram apresentados no âmbito de dois litígios que opõem, respetivamente, JU e SO à Scalable Capital GmbH a respeito da indemnização dos danos não patrimoniais que afirmam ter sofrido devido ao roubo, por terceiros cuja identidade é desconhecida, dos seus dados pessoais conservados numa aplicação de negociação gerida por esta sociedade.

Quadro jurídico

3 Os considerandos 75, 85 e 146 do RGPD têm a seguinte redação:

«(75) Os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.

[…]

(85) Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares. […]

[…]

(146) […] O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. […] Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. […]»

4 O artigo 4.^o deste regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); […]

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; […]

[…]

10) “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

[…]

12) “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

[…]»

5 O artigo 82.^o deste regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», dispõe, nos seus n.^os 1 a 3:

«1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.^o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.»

Litígios nos processos principais e questões prejudiciais

6 A Scalable Capital, uma sociedade de direito alemão, gere uma trading app (aplicação de negociação) na qual os recorrentes no processo principal, JU e SO, tinham aberto uma conta. Para o efeito, estes últimos registaram determinados dados pessoais nas respetivas contas, em especial os seus nomes, datas de nascimento, endereços postais, endereços de correio eletrónico e uma cópia digital dos seus bilhetes de identidade. Os recorrentes no processo principal tinham pagado um montante de vários milhares de euros necessário para a abertura dessas contas.

7 Durante 2020, dados pessoais e dados relativos à carteira de títulos dos recorrentes no processo principal foram pirateados por terceiros cuja identidade permanece desconhecida. Segundo a Scalable Capital, até ao presente, os referidos dados pessoais não foram objeto de utilização fraudulenta.

8 Neste contexto, os recorrentes no processo principal intentaram no Amtsgericht München (Tribunal de Primeira Instância de Munique, Alemanha), que é o órgão jurisdicional de reenvio, uma ação destinada a obter uma indemnização por danos não patrimoniais que afirmam ter sofrido devido ao roubo dos seus dados pessoais.

9 Em primeiro lugar, as interrogações do órgão jurisdicional de reenvio decorrem de abordagens divergentes dos órgãos jurisdicionais alemães para a avaliação das indemnizações que devem ser concedidas neste tipo de situação. Daí resultam variações importantes do montante da indemnização pecuniária concedida em casos que são, no entanto, análogos aos que estão em causa no processo principal, nomeadamente consoante se tenha tido em conta, ou não, um eventual efeito dissuasor. O órgão jurisdicional de reenvio indica que, no caso em apreço, várias dezenas de milhares de pessoas são afetadas pela perda dos dados em causa e que, por conseguinte, há que adotar um método de avaliação uniforme.

10 Em segundo lugar, no que respeita à avaliação dos danos não patrimoniais, este baseia‑se no direito alemão para distinguir uma função de «compensação» de uma função de «satisfação individual». A função de compensação destina‑se a compensar as consequências sofridas e previsíveis do dano alegado, ao passo que a função de satisfação individual visa neutralizar o sentimento de injustiça sentido devido à ocorrência do referido dano. O órgão jurisdicional de reenvio indica que, no direito alemão, esta função de satisfação apenas desempenha um papel acessório e considera que, no caso em apreço, esta função não deve exercer nenhuma influência no cálculo das indemnizações exigidas pelos recorrentes.

11 Em terceiro lugar, não existe, no direito alemão, uma tabela que permita fixar o montante da indemnização que deve ser atribuída segundo as situações em que são exigidas. Todavia, o grande número de decisões individuais proferidas permite fixar um quadro de referência, o que conduz a uma forma de sistematização das compensações. A este respeito, na ordem jurídica alemã, uma indemnização pecuniária só é concedida para compensar violações dos direitos de personalidade em casos de especial gravidade. A avaliação pecuniária é mais objetivável para a compensação de lesões corporais. O órgão jurisdicional de reenvio considera, por conseguinte, que a perda de dados deve ter menor peso do que o das lesões físicas.

12 Em quarto lugar, este órgão jurisdicional interroga‑se sobre a possibilidade de conceder indemnizações de valor reduzido, que poderiam ser consideradas simbólicas, nos casos em que o dano ligado a uma violação do RGPD é mínimo.

13 Em quinto lugar, este observa que as partes no processo principal interpretam de forma diferente o conceito de «roubo de identidade». A este respeito, considera que só existe roubo de identidade quando os dados obtidos ilegalmente são utilizados por um terceiro para usurpar a identidade do titular dos dados.

14 Nestas condições, o Amtsgericht München (Tribunal de Primeira Instância de Munique) decidiu, nos processos C‑182/22 e C‑189/22, suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais, que estão redigidas em termos idênticos nestes dois processos:

«1) Deve o artigo 82.^o do RGPD ser interpretado no sentido de que o direito de indemnização, também no que respeita à sua quantificação, não assume natureza sancionatória ou, mais concretamente, não tem função dissuasiva geral ou especial, mas sim apenas função [de compensação] e, eventualmente, [de satisfação]?

2) Para efeitos do cálculo do montante indemnizatório por danos não patrimoniais, deve considerar‑se que o direito de indemnização tem também função [de satisfação] individual — aqui entendida como o interesse particular do lesado na punição da conduta geradora do dano — ou esse direito de indemnização tem apenas função [de compensação] — aqui entendida como a função que visa unicamente [compensar] os danos sofridos?

Caso se entenda que a indemnização por danos não patrimoniais tem tanto uma função [de compensação] como uma função [de satisfação]: na quantificação, deve partir‑se do princípio de que a função [de compensação] assume prioridade estrutural ou que, pelo menos, constitui a regra, relativamente à função [de satisfação]? Daí decorre que a função [de satisfação] só seja chamada à colação no caso de lesões dolosas ou cometidas com negligência grosseira?

Caso a indemnização por danos não patrimoniais não tenha função [de satisfação]: no âmbito da sua quantificação, apenas são atendíveis, na avaliação da conduta geradora do dano, as violações das regras de proteção de dados pessoais, cometidas dolosamente ou com negligência grosseira?

3) Na quantificação da indemnização por danos não patrimoniais, deve partir‑se do princípio de que existe uma prioridade estrutural ou, pelo menos, uma relação regra‑exceção, nos termos da qual o prejuízo em consequência da violação das regras de proteção de dados pessoais tem menor importância do que a perturbação e a dor associadas a uma lesão corporal?

4) Caso o tribunal nacional considere a ocorrência de determinado dano, pode, em razão da [inexistência de] gravidade deste, atribuir ao lesado uma indemnização material limitada ao mínimo, suscetível de ser percecionada, pelo lesado ou pelo público em geral, como meramente simbólica?

5) No âmbito da avaliação dos efeitos da indemnização por danos não patrimoniais, considera‑se que só se verifica um roubo de identidade, na aceção do considerando 75 do RGPD, quando o infrator assumiu efetivamente a identidade [do titular dos dados], fazendo‑se passar por est[e], ou esse roubo de identidade verifica‑se logo a partir do momento em que o infrator está na posse de dados que permitem identificar ess[e] [titular]?»

Tramitação processual no Tribunal de Justiça

15 Por Decisão do presidente do Tribunal de Justiça de 19 de abril de 2022, os processos C‑182/22 e C‑189/22 foram apensados para efeitos das fases escrita e oral do processo, bem como do acórdão.

16 Em 1 de junho de 2022, o presidente do Tribunal de Justiça indeferiu o pedido de anonimização do presente processo apresentado pela Scalable Capital ao abrigo do artigo 95.^o, n.^o 2, do Regulamento de Processo do Tribunal de Justiça.

Quanto à admissibilidade dos pedidos de decisão prejudicial

17 A Scalable Capital sustenta, em substância, que os presentes pedidos de decisão prejudicial não são admissíveis visto serem irrelevantes para a solução dos litígios nos processos principais. Esta considera que uma perda abstrata do controlo sobre os dados, como no caso em apreço, não deve ser qualificada de «dano», na aceção do artigo 82.^o, n.^o 1, do RGPD, quando essa perda de controlo não teve consequências concretas e, portanto, as condições de aplicação do referido artigo 82.^o não estão reunidas. Com efeito, tal qualificação equivaleria a considerar que qualquer violação do regulamento dá origem a uma presunção de dano, contrariamente à redação, à sistemática geral e à génese do artigo 82.^o do RGPD.

18 A este respeito, segundo jurisprudência constante, o juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade pela decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal de Justiça, as quais gozam de uma presunção de pertinência. Por conseguinte, desde que as questões submetidas sejam relativas à interpretação ou à validade do direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se, salvo se for manifesto que a interpretação solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas [v. Acórdãos de 5 de maio de 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, n.^o 43, e de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 23].

19 No caso em apreço, basta recordar que, quando não resulte de forma manifesta que a interpretação de uma disposição do direito da União não tem nenhuma relação com a realidade ou o objeto do litígio no processo principal, a objeção relativa à inaplicabilidade dessa disposição no processo principal não se refere à admissibilidade do pedido de decisão prejudicial, mas enquadra‑se na apreciação de mérito das questões (v., neste sentido, Acórdãos de 13 de julho de 2006, Manfredi e o., C‑295/04 a C‑298/04, EU:C:2006:461, n.^o 30; de 4 de julho de 2019, Kirschstein, C‑393/17, EU:C:2019:563, n.^o 28, e de 24 de julho de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, n.^o 66).

20 Daqui resulta que os presentes pedidos de decisão prejudicial são admissíveis.

Quanto às questões prejudiciais

Quanto à primeira questão e à primeira parte da segunda questão

21 Com a sua primeira questão e a primeira parte da sua segunda questão, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição cumpre uma função de compensação, visto que uma indemnização pecuniária baseada na referida disposição deve permitir compensar integralmente o dano sofrido devido à violação deste regulamento, ou também cumpre uma função sancionatória destinada, nomeadamente, a satisfazer os interesses individuais do titular dos dados.

22 A este respeito, o Tribunal de Justiça já declarou que o artigo 82.^o do RGPD não reveste função punitiva, mas sim compensatória, contrariamente a outras disposições deste regulamento que também figuram no seu capítulo VIII, ou seja, os seus artigos 83.^o e 84.^o, que, por seu turno, têm essencialmente finalidade punitiva, uma vez que permitem, respetivamente, aplicar coimas e outras sanções. A articulação entre as regras enunciadas no referido artigo 82.^o e as enunciadas nos referidos artigos 83.^o e 84.^o demonstra que existe uma diferença entre estas duas categorias de disposições, mas também uma complementaridade, em termos de incentivo ao respeito do RGPD, observando‑se que o direito de qualquer pessoa a pedir a indemnização de um dano reforça o caráter operacional das regras de proteção previstas neste regulamento e é suscetível de desencorajar a reiteração de comportamentos ilícitos [v., nomeadamente, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 38 e 40, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 59].

23 Por conseguinte, o artigo 82.^o, n.^o 1, do RGPD foi interpretado no sentido de que o direito de indemnização previsto nesta disposição, nomeadamente em caso de danos não patrimoniais, desempenha uma função exclusivamente compensatória, visto que uma indemnização pecuniária baseada na referida disposição deve permitir compensar integralmente o dano concretamente sofrido por violação deste regulamento, e não uma função dissuasiva ou punitiva [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 57 e 58, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 61].

24 Por conseguinte, há que responder à primeira questão e à primeira parte da segunda questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição cumpre uma função exclusivamente compensatória, visto que uma indemnização pecuniária baseada na referida disposição deve permitir compensar integralmente o dano sofrido.

Quanto à segunda parte da segunda questão

25 Tendo em conta a resposta dada à primeira questão e à primeira parte da segunda questão, não é necessário responder a esta segunda parte da segunda questão.

Quanto à terceira parte da segunda questão

26 Com a terceira parte da sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que este artigo exige que o grau de gravidade e o eventual caráter doloso da violação deste regulamento cometida pelo responsável pelo tratamento sejam tidos em conta para efeitos da indemnização de danos com fundamento nesta disposição.

27 No que respeita à avaliação das indemnizações eventualmente devidas por força do artigo 82.^o do RGPD, na falta de uma disposição com esse objeto neste regulamento, os juízes nacionais devem aplicar as normas internas de cada Estado‑Membro relativas ao alcance da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 53, 54 e 59, e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 53].

28 Por um lado, importa sublinhar, no entanto, que a responsabilidade do responsável pelo tratamento a título do artigo 82.^o do RGPD está subordinada à existência de culpa, a qual se presume, a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável, e, por outro, que este artigo 82.^o não exige que o grau de gravidade dessa culpa seja tido em conta aquando da fixação do montante da indemnização concedida a título de reparação de um dano imaterial ao abrigo desta disposição (Acórdãos de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 103, e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 52).

29 Além disso, a função exclusivamente compensatória do direito de indemnização previsto no artigo 82.^o, n.^o 1, do RGPD exclui a tomada em consideração do caráter eventualmente doloso da violação deste regulamento, que se presume que o responsável pelo tratamento cometeu, na fixação do montante da indemnização por danos imateriais atribuída com base na referida disposição. Esse montante deve, no entanto, ser fixado de modo que compense integralmente o prejuízo concretamente sofrido devido à violação do referido regulamento (v., por analogia, Acórdãos de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 102, e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 54).

30 Atendendo aos fundamentos expostos, há que responder à terceira parte da segunda questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que este não exige que o grau de gravidade e o eventual caráter doloso da violação deste regulamento cometida pelo responsável pelo tratamento sejam tidos em conta para efeitos da indemnização de danos com fundamento nesta disposição.

Quanto à terceira questão

31 Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, no âmbito da fixação do montante das indemnizações devidas ao abrigo do direito de indemnização por danos não patrimoniais, há que considerar que semelhante dano causado por uma violação de dados pessoais é, por natureza, menos importante do que um dano corporal.

32 A este respeito, importa recordar que, em conformidade com jurisprudência constante, na falta de regras da União na matéria, cabe à ordem jurídica interna de cada Estado‑Membro regular os aspetos processuais das ações judiciais destinadas a assegurar a salvaguarda dos direitos dos particulares, por força do princípio da autonomia processual, desde que, no entanto, essas modalidades não sejam, nas situações abrangidas pelo direito da União, menos favoráveis do que as que regulam situações semelhantes submetidas ao direito interno (princípio da equivalência) e não tornem impossível, na prática, ou excessivamente difícil o exercício dos direitos conferidos pelo direito da União (princípio da efetividade) [v., neste sentido, Acórdãos de 13 de dezembro de 2017, El Hassani, C‑403/16, EU:C:2017:960, n.^o 26, e de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 53].

33 No caso em apreço, há que salientar que o RGPD não contém nenhuma disposição que tenha por objeto definir as regras relativas à avaliação da indemnização por perdas e danos a que um titular dos dados, na aceção do artigo 4.^o, ponto 1, deste regulamento, pode invocar, ao abrigo do artigo 82.^o, quando a violação do referido regulamento lhe causou um dano. Por conseguinte, na falta de regras do direito da União na matéria, cabe à ordem jurídica de cada Estado‑Membro fixar as modalidades das ações destinadas a garantir a salvaguarda dos direitos conferidos aos litigantes por esse artigo 82.^o e, em particular, os critérios que permitem determinar o alcance da indemnização devida nesse âmbito, sem prejuízo do respeito dos referidos princípios da equivalência e da efetividade [Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 54].

34 Uma vez que nenhum elemento dos autos de que dispõe o Tribunal de Justiça sugere que o princípio da equivalência possa ser pertinente no contexto dos presentes processos principais, há que se centrar no princípio da efetividade. Nesta perspetiva, cabe ao órgão jurisdicional de reenvio determinar se as modalidades previstas no direito alemão para a fixação judicial da indemnização devida ao abrigo do direito de indemnização consagrado no artigo 82.^o do RGPD não tornam impossível, na prática, ou excessivamente difícil o exercício dos direitos conferidos pelo direito da União, e, mais especificamente, por este regulamento.

35 A este respeito, resulta da jurisprudência recordada no n.^o 23 do presente acórdão que, tendo em conta a função exclusivamente compensatória do direito de indemnização previsto no artigo 82.^o, n.^o 1, deste regulamento, uma indemnização pecuniária baseada nesta disposição deve ser considerada «integral e efetiva» se permitir compensar integralmente o dano concretamente sofrido devido à violação do referido regulamento.

36 Nesta perspetiva, o considerando 146 do referido regulamento indica, aliás, que «[o] conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento» e que «[o]s titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido».

37 Importa também salientar que os considerandos 75 e 85 do RGPD, que enunciam diferentes circunstâncias suscetíveis de serem qualificadas de «danos físicos, materiais ou imateriais», sem estabelecer uma hierarquia entre si, nem indicar que os prejuízos resultantes de uma violação de dados são, por natureza, menos significativos do que as lesões corporais.

38 Ora, admitir, por princípio, que um dano corporal é, por natureza, mais importante do que um dano não patrimonial pode pôr em causa o princípio de uma indemnização integral e efetiva do dano sofrido.

39 Tendo em conta os fundamentos precedentes, importa responder à terceira questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, no âmbito da fixação do montante das indemnizações devidas ao abrigo do direito de indemnização por danos não patrimoniais, há que considerar que semelhante dano causado por uma violação de dados pessoais não é, por natureza, menos importante do que um dano corporal.

Quanto à quarta questão

40 Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, quando um dano esteja caracterizado, um órgão jurisdicional nacional pode, quando este não revista gravidade, compensá‑lo atribuindo ao titular dos dados uma indemnização mínima, que pode ser percecionada como simbólica.

41 Importa recordar que resulta de jurisprudência constante que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que a simples violação deste regulamento não basta para conferir um direito a indemnização, uma vez que a existência de «danos», materiais ou imateriais, ou de «danos» que foram «sofridos» constitui uma das condições do direito de indemnização previsto no referido artigo 82.^o, n.^o 1, bem como a existência de uma violação do referido regulamento e de um nexo de causalidade entre esse dano e essa violação, sendo estas três condições cumulativas [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 32, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 34].

42 Assim, a pessoa que pede uma indemnização de um dano não patrimonial com base nesta disposição é obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou tais danos, os quais não podem, portanto, ser presumidos apenas devido à ocorrência da referida violação [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 42 e 50, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 35].

43 Quando uma pessoa consegue demonstrar que a violação do RGPD lhe causou danos, na aceção do artigo 82.^o deste regulamento, resulta, em substância, do n.^o 33 do presente acórdão que os critérios de avaliação da indemnização devida no âmbito das ações destinadas a garantir a salvaguarda dos direitos conferidos aos litigantes por esse artigo devem ser fixados no âmbito da ordem jurídica de cada Estado‑Membro, desde que essa indemnização seja integral e efetiva.

44 A este respeito, o Tribunal de Justiça decidiu que o artigo 82.^o, n.^o 1, do RGPD não exige que, na sequência da violação comprovada de disposições deste regulamento, o dano alegado pelo titular dos dados deva atingir um «limiar mínimo» para conferir um direito a reparação (v., neste sentido, Acórdão de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^o 18).

45 No entanto, estas considerações não excluem que os órgãos jurisdicionais nacionais possam atribuir uma indemnização de um montante pouco elevado desde que esta indemnização compense integralmente o referido dano, o que cabe ao órgão jurisdicional verificar, no respeito dos princípios recordados no n.^o 43 do presente acórdão.

46 Tendo em conta os fundamentos precedentes, importa responder à quarta pergunta que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, quando um dano esteja caracterizado, um órgão jurisdicional nacional pode, quando este não revista gravidade, compensá‑lo atribuindo ao titular dos dados uma indemnização mínima, desde que essa indemnização seja suscetível de compensar integralmente o dano sofrido.

Quanto à quinta questão

Quanto à admissibilidade

47 Nas suas observações escritas, a Comissão Europeia interrogou‑se sobre a pertinência da quinta questão para responder aos litígios nos processos principais, visto que constata que o órgão jurisdicional de reenvio não fez nenhuma referência a uma disposição concreta do direito da União.

48 A este respeito, a quinta questão visa o conceito de «roubo de identidade», na aceção do considerando 75 do RGPD e não diz formalmente respeito ao artigo 82.^o deste regulamento. No entanto, o simples facto de o Tribunal de Justiça ser chamado a pronunciar‑se em termos abstratos e gerais não pode ter o efeito de acarretar a inadmissibilidade de um pedido de decisão prejudicial (Acórdão de 15 de novembro de 2007, International Mail Spain, C‑162/06, EU:C:2007:681, n.^o 24).

49 Ora, com esta questão, o órgão jurisdicional de reenvio pede ao Tribunal de Justiça que interprete o conceito de «roubo de identidade», conforme figura no considerando 75 do RGPD, a fim de determinar o montante da indemnização pecuniária prevista no artigo 82.^o do RGPD. Por conseguinte, a referida questão tem efetivamente por objeto uma disposição do direito da União. De resto, a resposta a esta questão também é pertinente na parte em que nem o órgão jurisdicional de reenvio nem as partes nos processos principais estão de acordo quanto à definição deste conceito para efeitos da avaliação do dano sofrido nos processos principais.

50 Nestas circunstâncias, a quinta questão é admissível.

Quanto ao mérito

51 Segundo jurisprudência constante, no âmbito do processo de cooperação entre os órgãos jurisdicionais nacionais e o Tribunal de Justiça instituído pelo artigo 267.^o TFUE, cabe a este dar ao juiz nacional uma resposta útil que lhe permita decidir o litígio que lhe foi submetido. Nesta ótica, incumbe ao Tribunal de Justiça, se necessário, reformular as questões que lhe são submetidas. Além disso, o Tribunal de Justiça pode ser levado a tomar em consideração normas de direito da União a que o juiz nacional não fez referência no enunciado da sua questão (Acórdão de 7 de setembro de 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, n.^o 47 e jurisprudência referida).

52 No caso em apreço, a quinta questão tem por objeto o direito a indemnização previsto no artigo 82.^o, n.^o 1, do RGPD, e mais especificamente o conceito de «roubo de identidade», que figura no considerando 75 do RGPD. Ora, importa salientar que, além deste considerando, este conceito é também mencionado no considerando 85 deste regulamento.

53 Por conseguinte, há que considerar que, com a sua quinta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD, lido à luz dos considerandos 75 e 85 deste regulamento, deve ser interpretado no sentido de que, para estar caracterizado e conferir direito de indemnização por danos não patrimoniais ao abrigo desta disposição, o conceito de «roubo de identidade» implica que a identidade de um titular dos dados afetado por um roubo de dados pessoais seja efetivamente usurpada por um terceiro, ou se tal roubo de identidade está caracterizado quando esse terceiro disponha de dados que permitam identificar a pessoa afetada.

54 O conceito de roubo de identidade não está definido no RGPD. No entanto, o «roubo» ou «a usurpação» da identidade são mencionados no considerando 75 deste regulamento como fazendo parte de uma lista não exaustiva de consequências de um tratamento de dados pessoais suscetível de causar danos físicos, materiais ou imateriais. No considerando 85 do referido regulamento, o «roubo» ou «a usurpação» de identidade são novamente evocados em conjunto entre uma lista de danos físicos, materiais ou imateriais que possam ser causados por uma violação de dados pessoais.

55 Como salientou o advogado‑geral no n.^o 29 das suas conclusões, as várias versões linguísticas dos considerandos 75 e 85 do RGPD mencionam os termos «roubo de identidade», «fraude de identidade», «abuso de identidade», «apropriação abusiva de identidade» e «usurpação de identidade» aí utilizados indistintamente. Por conseguinte, os conceitos de «roubo» e de «usurpação» de identidade são substituíveis entre si e não pode ser feita nenhuma distinção entre eles. Estes dois últimos conceitos dão lugar à presunção de uma vontade de se apropriar da identidade de uma pessoa cujos dados pessoais foram, anteriormente, roubados.

56 Além disso, como salientou igualmente o advogado‑geral no n.^o 30 das suas conclusões, entre os diferentes conceitos enunciados nas listas que figuram nos considerandos 75 e 85 do RGPD, a «perda de controlo» ou o impedimento «do exercício de controlo» sobre dados pessoais distinguem‑se do «roubo» ou da «usurpação» de identidade. Daqui resulta que o acesso e a tomada de controlo sobre esses dados, que podem ser equiparados a um roubo destes últimos, não são, em si mesmos, equiparáveis a um «roubo» ou a uma «usurpação» de identidade. Por outras palavras, o roubo de dados pessoais não constitui, por si só, roubo ou usurpação de identidade.

57 Todavia, há que precisar, a este respeito, que a indemnização de um dano imaterial causado pelo roubo de dados pessoais, ao abrigo do artigo 82.^o, n.^o 1, do RGPD, não pode ser limitada aos casos em que se demonstre que esse roubo de dados deu lugar, em seguida, a um roubo ou a uma usurpação de identidade. Com efeito, o roubo dos dados pessoais de um titular dos dados confere direito de indemnização dos danos morais sofridos, ao abrigo do artigo 82.^o, n.^o 1, do RGPD, se forem aplicáveis as três condições estabelecidas nesta disposição, a saber, um tratamento de dados pessoais efetuado em violação das disposições do RGPD, um dano sofrido pelo titular dos dados e um nexo de causalidade entre esse tratamento ilícito e esse dano [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 32 e 36].

58 Por estes motivos, há que responder à quinta questão que o artigo 82.^o, n.^o 1, do RGPD, lido à luz dos considerandos 75 e 85 deste regulamento, deve ser interpretado no sentido de que, para estar caracterizado e conferir direito de indemnização por danos não patrimoniais ao abrigo desta disposição, o conceito de «roubo de identidade» implica que a identidade de um titular dos dados afetado por um roubo de dados pessoais seja efetivamente usurpada por um terceiro. Todavia, a indemnização de um dano não patrimonial causado pelo roubo de dados pessoais, ao abrigo da referida disposição, não se limita aos casos em que se demonstre que esse roubo de dados deu em seguida lugar a um roubo ou a uma usurpação de identidade.

Quanto às despesas

59 Revestindo os processos, quanto às partes nas causas principais, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

1) O artigo 82.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),