CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:536

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

20 de junho de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 82.o, n.o 1 — Direito de indemnização dos danos causados por um tratamento de dados efetuado em violação deste regulamento — Conceito de “danos imateriais” — Relevância da gravidade dos danos sofridos — Ponderação do montante da indemnização — Pedido de indemnização de danos imateriais baseados num receio — Não aplicabilidade dos critérios previstos para as coimas no artigo 83.o — Função dissuasora — Ponderação em caso de violação concomitante do referido regulamento e do direito nacional»

No processo C‑590/22,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Amtsgericht Wesel (Tribunal de Primeira Instância de Wesel, Alemanha), por Decisão de 5 de agosto de 2022, que deu entrada no Tribunal de Justiça em 9 de setembro de 2022, no processo

AT,

contra

PS GbR,

VG,

MB,

DH,

WB,

GS,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: K. Jürimäe, presidente de secção, K. Lenaerts, presidente do Tribunal de Justiça, a exercer funções de juiz da Terceira Secção, N. Piçarra, N. Jääskinen (relator) e M. Gavalec, juízes,

advogado‑geral: M. Campos Sánchez‑Bordona,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

– em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e M. Tierney, na qualidade de agentes, assistidos por D. Fennelly, BL,

– em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

vista a decisão tomada, ouvido o advogado‑geral, de julgar a causa sem apresentação de conclusões,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 82.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe, respetivamente, AT e BT, demandantes no processo principal, à PS GbR, uma sociedade de consultores fiscais, bem como a VG, a MB, a DH, a WB e a GS, sócios da PS, a respeito do direito dos demandantes no processo principal ao arbitramento de uma indemnização, ao abrigo do artigo 82.^o, n.^o 1, do RGPD, para reparação do sofrimento que afirmam ter tido pelo facto de a sua declaração fiscal, que continha dados pessoais, ter sido divulgada a terceiros sem o seu consentimento na sequência de um erro cometido pela PS.

Quadro jurídico

3 Os considerandos 85, 146 e 148 do RGPD têm a seguinte redação:

«(85) Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares. […]

[…]

(146) O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento. O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados‑Membros. Os tratamentos que violem o presente regulamento abrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados‑Membros que dê execução a regras do presente regulamento. Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. […]

[…]

(148) A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por qualquer violação do presente regulamento […] Importa, porém, ter em devida conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou subcontratante, o cumprimento de um código de conduta ou quaisquer outros fatores agravantes ou atenuantes. […]»

4 O artigo 4.^o deste regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); […]

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; […]

[…]

10) “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

[…]

12) “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

[…]»

5 Nos termos do artigo 79.^o, n.^o 1, do referido regulamento:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.^o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

6 O artigo 82.^o deste regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», dispõe nos seus n.^os 1 a 3:

«1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. […]

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.^o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.»

7 O artigo 83.^o do mesmo regulamento, sob a epígrafe «Condições gerais para a aplicação de coimas», estabelece, nos seus n.^os 2, 3 e 5:

«2. […] Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a) A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b) O caráter intencional ou negligente da infração;

[…]

k) Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

[…]

5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.^o 2, a coimas até 20 000 000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a) Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.^o, 6.^o, 7.^o e 9.^o;

b) Os direitos dos titulares dos dados nos termos dos artigos 12.^o a 22.^o;

[…]»

Litígio no processo principal e questões prejudiciais

8 Os demandantes no processo principal, AT e BT, são clientes da PS, um gabinete de consultoria fiscal. Os mesmos informaram esse gabinete de consultoria da mudança do seu endereço postal, o qual foi registado no sistema informático de tratamento de dados da PS. O novo endereço dos demandantes no processo principal foi, em seguida, utilizado pela PS para o envio de várias cartas.

9 Em julho de 2020, os demandantes no processo principal pediram à PS que redigisse a sua declaração fiscal relativa ao ano de 2019. Não tendo recebido resposta, contactaram a PS, que os informou de que esta declaração fiscal lhes tinha sido efetivamente enviada por carta de 29 de setembro de 2020, sem especificar o endereço para o qual tinha sido efetuado esse envio.

10 Os novos residentes no seu antigo endereço informaram os demandantes de que tinha chegado a esse endereço um envelope enviado em seu nome e que o tinham aberto por erro. Um desses novos residentes indicou que, depois de ter verificado que a correspondência em causa não lhe era dirigida, tinha colocado no envelope os documentos que aí tinha encontrado. Entregou‑o então a familiares residentes na proximidade da antiga morada dos recorrentes no processo principal para que estes últimos pudessem ir buscá‑lo.

11 Quando os demandantes no processo principal foram buscar o envelope em causa, constataram que apenas aí figurava uma cópia da declaração fiscal e uma carta a acompanhá‑la. Pressupõem, todavia, que este sobrescrito continha também a versão original dessa declaração fiscal, que incluía dados pessoais entre os quais figuravam os respetivos nomes e datas de nascimento, bem como os dos seus filhos, números de identificação fiscal, os seus dados bancários, ou ainda indicações relativas à sua pertença a uma comunidade religiosa, à qualidade de pessoa deficiente de um membro da sua família, às suas profissões e aos seus locais de trabalho, ou a diferentes despesas por eles realizadas.

12 A este respeito, o órgão jurisdicional de reenvio esclarece que não foi possível determinar quais os documentos que se encontravam inicialmente no referido envelope nem determinar em que medida os novos residentes no antigo endereço dos demandantes no processo principal tinham ou não tomado conhecimento do conteúdo do mesmo envelope. Refere igualmente que o envio da correspondência em causa para um endereço errado resultou do facto de a PS ter utilizado dados provenientes de uma base de dados na qual figurava ainda o antigo endereço dos demandantes no processo principal.

13 Neste contexto, os demandantes no processo principal intentaram uma ação no Amtsgericht Wesel (Tribunal de Primeira Instância de Wesel, Alemanha), o aqui órgão jurisdicional de reenvio, para obterem, com fundamento no artigo 82.^o, n.^o 1, do RGPD, a indemnização dos danos imateriais que consideram ter sofrido com a divulgação dos seus dados pessoais a terceiros e que avaliam em 15 000 euros.

14 O órgão jurisdicional de reenvio interroga‑se, em primeiro lugar, sobre se, no caso de ser invocado um dano imaterial, o direito de indemnização resultante do artigo 82.^o do RGPD se pode basear apenas na violação das disposições deste regulamento, precisando‑se que, no direito alemão, só nos casos em que esteja demonstrado um prejuízo importante, que vá além da mera violação de uma disposição jurídica, é que pode ser reconhecido o direito a uma compensação pecuniária, se esse dano não puder ser reparado de outra forma.

15 Em segundo lugar, esse órgão jurisdicional interroga‑se sobre a questão de saber se o receio de que os seus dados pessoais possam ter estado em poder de pessoas não autorizadas pode, por si só, constituir um dano imaterial suscetível de conferir o direito a uma compensação pecuniária nos termos do artigo 82.^o do RGPD.

16 Em terceiro lugar, o referido órgão jurisdicional salienta que o artigo 83.^o do RGPD enuncia critérios que permitem determinar, de modo uniforme, o montante das coimas aplicadas em caso de violação deste regulamento. Ora, este artigo não tem equivalente no que respeita à compensação pecuniária dos danos imateriais. Por conseguinte, esse órgão interroga‑se sobre se estes critérios são transponíveis para a compensação pecuniária dos danos imateriais devida nos termos do artigo 82.^o do RGPD.

17 Em quarto lugar, o órgão jurisdicional de reenvio recorda que o considerando 146 do RGPD prevê que o conceito de «dano» deve ser interpretado em sentido lato, a fim de garantir uma indemnização integral e efetiva dos danos sofridos. Todavia, pergunta se a referência à reparação «efetiva» significa que a compensação do dano imaterial deve ser ponderada de modo que produza um efeito dissuasor. Se for caso disso, os responsáveis pelo tratamento de dados podem sentir‑se tentados a não cumprir as obrigações previstas no RGPD no caso de o custo de uma observância estrita deste regulamento se revelar mais elevado do que os montantes das indemnizações que podem ter de pagar em caso de violação do referido regulamento.

18 Em quinto e último lugar, o órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se a violação concomitante de disposições do RGPD e de disposições do direito alemão, como as que impõem obrigações de confidencialidade a determinados profissionais, deve ser tida em conta para a ponderação da compensação devida pelos danos imateriais nos termos do artigo 82.^o do RGPD. O mesmo órgão refere ter dúvidas a este respeito, uma vez que as disposições relevantes do direito alemão em causa no caso em apreço já estavam em vigor no momento da adoção do RGPD e não podem, portanto, ser consideradas atos delegados ou atos de execução adotados em conformidade com este regulamento, na aceção do seu considerando 146.

19 Nestas circunstâncias, o Amtsgericht Wesel (Tribunal de Primeira Instância de Wesel) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) É suficiente para fundamentar um direito a indemnização ao abrigo do artigo 82.^o, n.^o 1, do [RGPD] que uma disposição [deste regulamento] que protege o requerente tenha sido violada ou é necessário que essa pessoa tenha sofrido um prejuízo adicional?

2) Nos termos do direito da União, é necessário que se verifique um prejuízo com uma certa gravidade para fundamentar um direito a indemnização por danos imateriais[,] na aceção do artigo 82.^o, n.^o 1, do RGPD?

3) Em particular, é suficiente para fundamentar um direito a indemnização por danos imateriais[,] na aceção do artigo 82.^o, n.^o 1, do RGPD[,] que o requerente receie que, na sequência de violações das disposições d[o] RGPD, os seus dados pessoais tenham chegado às mãos de terceiros sem que disso possa ser positivamente provado?

4) É conforme com o direito da União que o órgão jurisdicional nacional, no cálculo do montante de uma indemnização por danos imateriais na aceção do artigo 82.^o, n.^o 1, d[o] RGPD, aplique mutatis mutandis os critérios do artigo 83.^o, n.^o 2, segundo período, do RGPD, que, segundo os próprios termos desta disposição, apenas são aplicáveis às coimas?

5) Deve o montante da indemnização por danos imateriais[,] na aceção do artigo 82.^o, n.^o 1, d[o] RGPD[,] ser também fixado tendo em conta o facto de o montante do direito reconhecido criar um efeito dissuasor e/ou impedir a “mercantilização” (aceitação calculada de coimas/do pagamento de indemnizações por danos) das infrações?

6) É conforme com o direito da União ter em consideração, no cálculo do montante de um direito a indemnização por danos imateriais[,] na aceção do artigo 82.^o, n.^o 1, do RGPD, infrações a disposições nacionais que tenham por objetivo a proteção de dados pessoais, mas que não sejam atos delegados ou de execução adotados nos termos do presente regulamento ou disposições dos Estados‑Membros que visem clarificar as disposições do presente regulamento?»

Quanto às questões prejudiciais

Quanto às primeira e segunda questões

20 Com as suas primeira e segunda questões, que importa analisar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que basta uma violação deste regulamento para, por si só, fundamentar um direito de indemnização ao abrigo desta disposição, ou se o titular dos dados tem também de demonstrar a existência de um dano, que atinja um determinado grau de gravidade e tenha sido causado por essa violação.

21 O artigo 82.^o, n.^o 1, do RGPD estabelece que «[q]ualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos».

22 O Tribunal de Justiça já declarou que resulta claramente da redação desta disposição que a existência de «danos», materiais ou imateriais, ou de «danos sofridos» constitui um dos requisitos do direito de indemnização previsto no referido artigo 82.^o, n.^o 1, bem como a existência de uma violação deste regulamento e de um nexo de causalidade entre esses danos e essa violação, uma vez que estes três requisitos são cumulativos [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 32, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 34].

23 Por conseguinte, não se pode considerar que toda e qualquer «violação» das disposições do RGPD confere, por si só, esse direito de indemnização em benefício do titular dos dados, conforme definido no artigo 4.^o, ponto 1, deste regulamento. De resto, a menção distinta a «danos» e «violação», no artigo 82.^o, n.^o 1, do referido regulamento, seria supérflua se o legislador da União tivesse considerado que uma violação das disposições deste regulamento seria suficiente, por si só e em qualquer caso, para fundamentar um direito de indemnização [Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 33 e 34].

24 Daqui resulta que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que a simples violação das disposições deste regulamento não é suficiente para conferir um direito de indemnização [Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 42].

25 Com efeito, a pessoa que pede a indemnização de um dano imaterial ao abrigo desta disposição está obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou tais danos [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 42 e 50, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 35].

26 No que diz respeito a este último requisito, o artigo 82.^o, n.^o 1, do RGPD opõe‑se a uma regra ou uma prática nacional que subordina a indemnização de danos imateriais, na aceção desta disposição, à condição de os danos sofridos pelo titular dos dados atingirem um certo grau de gravidade [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 51, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 36].

27 Não é menos certo que essa pessoa tem a obrigação, por força do artigo 82.^o, n.^o 1, deste regulamento, de provar que sofreu efetivamente danos materiais ou imateriais (v., neste sentido, Acórdão de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 39).

28 Tendo em conta os fundamentos precedentes, há que responder às primeira e segunda questões que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que não basta uma violação deste regulamento para, por si só, fundamentar um direito de indemnização ao abrigo desta disposição. O titular dos dados tem também de demonstrar a existência de um dano causado por essa violação, não sendo todavia necessário que esse dano atinja um determinado grau de gravidade.

Quanto à terceira questão

29 Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o receio que uma pessoa tenha de que os seus dados pessoais tenham sido divulgados a terceiros, devido a uma violação deste regulamento, sem que possa ser demonstrado que tal efetivamente sucedeu é suficiente para fundamentar um direito de indemnização dos danos imateriais.

30 Resulta da decisão de reenvio que os demandantes no processo principal pretendem obter, com base no RGPD, a reparação de um dano imaterial, por perda de controlo dos seus dados pessoais objeto de tratamento, sem poderem demonstrar em que medida terceiros tomaram efetivamente conhecimento dos referidos dados.

31 A este respeito, não havendo referência, no artigo 82.^o, n.^o 1, do RGPD, ao direito interno dos Estados‑Membros, o conceito de «danos imateriais», na aceção desta disposição, deve acolher uma definição autónoma e uniforme, própria do direito da União [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 30 e 44, e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 64].

32 O Tribunal de Justiça declarou que resulta não só da redação do artigo 82.^o, n.^o 1, do RGPD, lido à luz dos considerandos 85 e 146 deste regulamento, que convidam a adotar uma conceção ampla do conceito de «danos imateriais» na aceção desta primeira disposição, mas também do objetivo que consiste em garantir um elevado nível de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, visado pelo referido regulamento, que o receio de uma potencial utilização abusiva dos seus dados pessoais por terceiros que uma pessoa tenha na sequência da violação do mesmo regulamento é suscetível, por si só, de constituir «danos imateriais», na aceção deste artigo 82.^o, n.^o 1 [v., neste sentido, Acórdãos de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^os 79 a 86) e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 65].

33 A perda de controlo sobre dados pessoais, mesmo durante um curto período de tempo, pode constituir «danos imateriais», na aceção do artigo 82.^o, n.^o 1, do RGPD, conferindo direito a indemnização, desde que a referida pessoa demonstre ter efetivamente sofrido esses danos, por mínimos que sejam, recordando‑se que a simples violação das disposições deste regulamento não basta para conferir o direito de indemnização com esse fundamento [v., neste sentido, Acórdãos de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.^o 66, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 42].

34 A pessoa que considere que os seus dados pessoais foram objeto de um tratamento efetuado em violação das disposições pertinentes do RGPD e peça uma indemnização com base no artigo 82.^o, n.^o 1, deste regulamento deve, portanto, provar que sofreu efetivamente danos materiais ou imateriais.

35 Assim, a mera alegação de um receio, sem que sejam demonstradas as consequências negativas, não pode dar lugar a indemnização nos termos desta disposição.

36 Tendo em conta os motivos precedentes, há que responder à terceira questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o receio que uma pessoa tenha de que os seus dados pessoais tenham sido divulgados a terceiros, devido a uma violação deste regulamento, sem que possa ser demonstrado que tal efetivamente sucedeu é suficiente para fundamentar um direito de indemnização desde que esse receio, com as respetivas consequências negativas, seja devidamente provado.

Quanto às quarta e quinta questões

37 Com as quarta e quinta questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, há que, por um lado, aplicar mutatis mutandis os critérios de fixação do montante das coimas previstos no artigo 83.^o deste regulamento, e, por outro, conferir a este direito de indemnização uma função dissuasora.

38 Em primeiro lugar, no que respeita a uma eventual tomada em consideração dos critérios enunciados no artigo 83.^o do RGPD para a ponderação do montante da indemnização devida nos termos do seu artigo 82.^o, é pacífico que estas duas disposições prosseguem objetivos diferentes. Com efeito, enquanto o artigo 83.^o deste regulamento determina as «[c]ondições gerais para a aplicação de coimas», o artigo 82.^o do referido regulamento regula o «[d]ireito de indemnização e [a] responsabilidade».

39 Daqui decorre que os critérios enunciados no artigo 83.^o do RGPD para a determinação do montante das coimas, que são igualmente mencionados no considerando 148 deste regulamento, não podem ser utilizados para efetuar a ponderação do montante das indemnizações nos termos do seu artigo 82.^o (Acórdão de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 57).

40 O RGPD não contém nenhuma disposição que tenha por objeto definir as regras relativas à ponderação da indemnização que o titular dos dados, na aceção do artigo 4.^o, ponto 1, deste regulamento, pode invocar, ao abrigo do artigo 82.^o deste, quando a violação do referido regulamento lhe causou um dano. Por conseguinte, na falta de regras do direito da União na matéria, cabe à ordem jurídica de cada Estado‑Membro fixar os tipos de ações destinadas a garantir a salvaguarda dos direitos conferidos aos litigantes por esse artigo 82.^o e, em especial, os critérios que permitem determinar o alcance da indemnização devida nesse âmbito, sem prejuízo do respeito pelos princípios da equivalência e da efetividade [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 54, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 58].

41 Em segundo lugar, o direito de indemnização previsto no artigo 82.^o, n.^o 1, do RGPD não desempenha uma função dissuasora ou sequer punitiva. Daqui resulta que a gravidade da violação deste regulamento que causou o dano material ou imaterial alegado não pode influenciar o montante da indemnização concedida ao abrigo desta disposição e que esse montante não pode ser fixado num nível que exceda a compensação integral desse prejuízo [v., neste sentido, Acórdãos de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 86, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 60].

42 Tendo em conta a função compensatória do direito de indemnização previsto no artigo 82.^o do RGPD, conforme enunciado no considerando 146, sexto período, deste regulamento, uma indemnização pecuniária com base nesta disposição deve ser considerada «integral e efetiva» se permitir compensar integralmente o dano concretamente sofrido por violação deste regulamento, sem que seja necessário, para efeitos dessa compensação integral, impor o pagamento de uma indemnização de natureza punitiva [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 57 e 58, e de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 61].

43 Assim, tendo em conta as diferenças de redação e de finalidade existentes entre o artigo 82.^o do RGPD, lido à luz do seu considerando 146, e o artigo 83.^o do referido regulamento, lido à luz do seu considerando 148, não se pode considerar que os critérios de ponderação enunciados especificamente neste artigo 83.^o sejam aplicáveis mutatis mutandis no âmbito do artigo 82.^o, não obstante o facto de as vias de recurso previstas nestas duas disposições serem efetivamente complementares para assegurar o cumprimento do mesmo regulamento (Acórdão de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, n.^o 62).

44 Tendo em conta os fundamentos precedentes, importa responder às quarta e quinta questões que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, não há, por um lado, que aplicar mutatis mutandis os critérios de fixação do montante das coimas previstos no artigo 83.^o deste regulamento, nem, por outro, que conferir a esse direito de indemnização uma função dissuasora.

Quanto à sexta questão

45 Com a sua sexta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, há que ter em conta violações concomitantes de disposições nacionais respeitantes à proteção de dados pessoais mas que não têm por objeto a especificação das regras deste regulamento.

46 Esta questão é colocada pelo facto de os demandantes considerarem que a violação conjugada de disposições resultantes do RGPD e da legislação alemã aplicável aos consultores fiscais, que foi adotada antes da entrada em vigor deste regulamento e não visa, portanto, especificar as suas regras, deve conduzir consequentemente ao aumento da indemnização que reclamam ao abrigo do artigo 82.^o, n.^o 1, do RGPD, para compensação dos danos imateriais que alegam ter sofrido.

47 A este respeito, é certo que resulta, em substância, do considerando 146, quinto período, do RGPD que os tratamentos de dados pessoais que violem este regulamento «abrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados‑Membros que dê execução a regras do presente regulamento».

48 Todavia, a circunstância de esse tratamento de dados ter sido igualmente efetuado em violação de disposições de direito nacional relativas à proteção dos dados pessoais, mas que não têm por objeto especificar as regras deste regulamento, não constitui um fator pertinente para a ponderação da indemnização atribuída com base no artigo 82.^o, n.^o 1, do RGPD. Com efeito, a violação dessas disposições nacionais não está abrangida pelo artigo 82.^o, n.^o 1, deste regulamento, lido em conjugação com o seu considerando 146.

49 Essa circunstância não prejudica o facto de, se o direito nacional o permitir, o juiz nacional poder conceder ao titular dos dados uma indemnização mais elevada do que a indemnização integral e efetiva prevista no artigo 82.^o, n.^o 1, do RGPD no caso de, tendo em conta o facto de os danos também terem sido causados pela violação de disposições de direito nacional como as referidas no número anterior, esta última indemnização não ser considerada suficiente ou adequada.

50 Tendo em conta os fundamentos precedentes, importa responder à sexta questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, não há que ter em conta violações concomitantes de disposições nacionais respeitantes à proteção de dados pessoais mas que não têm por objeto a especificação das regras deste regulamento.

Quanto às despesas

51 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

1) O artigo 82.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

não basta uma violação deste regulamento para, por si só, fundamentar um direito de indemnização ao abrigo desta disposição. O titular dos dados tem também de demonstrar a existência de um dano causado por essa violação, não sendo todavia necessário que esse dano atinja um determinado grau de gravidade.

2) O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

o receio que uma pessoa tenha de que os seus dados pessoais tenham sido divulgados a terceiros, devido a uma violação deste regulamento, sem que possa ser demonstrado que tal efetivamente sucedeu é suficiente para fundamentar um direito de indemnização, desde que esse receio, com as respetivas consequências negativas, seja devidamente provado.

3) O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, não há, por um lado, que aplicar mutatis mutandis os critérios de fixação do montante das coimas previstos no artigo 83.^o deste regulamento, nem, por outro, que conferir a esse direito de indemnização uma função dissuasora.

4) O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

para determinar o montante da indemnização devida a título da reparação de danos ao abrigo desta disposição, não há que ter em conta violações concomitantes de disposições nacionais respeitantes à proteção de dados pessoais mas que não têm por objeto a especificação das regras deste regulamento.

Assinaturas

* Língua do processo: alemão.