ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

25 de janeiro de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Interpretação dos artigos 5.o, 24.o, 32.o e 82.o — Apreciação da validade do artigo 82.o — Inadmissibilidade do pedido de apreciação da validade — Direito à indemnização dos danos causados pelo tratamento de tais dados, realizado em violação deste regulamento — Transmissão de dados a terceiros não autorizados devido a um erro cometido pelos trabalhadores do responsável pelo tratamento — Apreciação da adequação das medidas de proteção aplicadas pelo responsável pelo tratamento — Função compensatória desempenhada pelo direito de indemnização — Incidência da gravidade da violação — Necessidade de demonstrar a existência de danos causados pela referida violação — Conceito de “danos imateriais”»

No processo C‑687/21,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Amtsgericht Hagen (Tribunal de Primeira Instância de Hagen, Alemanha), por Decisão de 11 de outubro de 2021, que deu entrada no Tribunal de Justiça em 16 de novembro de 2021, no processo

BL

contra

MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: K. Jürimäe, presidente de secção, N. Piçarra, M. Safjan, N. Jääskinen (relator) e M. Gavalec, juízes,

advogado‑geral: M. Campos Sánchez‑Bordona,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

–        em representação de BL, por D. Pudelko, Rechtsanwalt,

–        em representação da MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen, por B. Hackl, Rechtsanwalt,

–        em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e M. Lane, na qualidade de agentes, assistidos por D. Fennelly, BL,

–        em representação do Parlamento Europeu, por O. Hrstková Šolcová e J.‑C. Puffer, na qualidade de agentes,

–        em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

vista a decisão tomada, ouvido o advogado‑geral, de julgar a causa sem apresentação de conclusões,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 2.^o, n.^o 1, do artigo 4.^o, ponto 7, do artigo 5.^o, n.^o 1, alínea f), do artigo 6.^o, n.^o 1, do artigo 24.^o, do artigo 32.^o, n.^o 1, alínea b), e n.^o 2, bem como do artigo 82.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), e a apreciação da validade deste artigo 82.^o

2        Este pedido foi apresentado no âmbito de um litígio que opõe BL, uma pessoa singular, à MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen (a seguir «Saturn») a respeito da indemnização pelos danos imateriais que a referida pessoa afirma ter sofrido devido à transmissão de alguns dos seus dados pessoais a um terceiro por erro cometido por trabalhadores desta sociedade.

 Quadro jurídico

3        Os considerandos 11, 74, 76, 83, 85 e 146 do RGPD têm a seguinte redação:

«(11)      A proteção eficaz dos dados pessoais na União exige o reforço e a especificação dos direitos dos titulares dos dados e as obrigações dos responsáveis pelo tratamento e pela definição do tratamento dos dados pessoais, […]

[…]

(74)      Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.

[…]

(76)      A probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados deverá ser determinada por referência à natureza, âmbito, contexto e finalidades do tratamento de dados. Os riscos deverão ser aferidos com base numa avaliação objetiva, que determine se as operações de tratamento de dados implicam risco ou risco elevado.

[…]

(83)      A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas deverão assegurar um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais.

[…]

(85)      Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares. […]

[…]

(146)      O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento. O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados‑Membros. Os tratamentos que violem o presente regulamento abrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados‑Membros que dê execução a regras do presente regulamento. Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. […]»

4        O artigo 2.^o, incluído no capítulo I deste regulamento, relativo às «[d]isposições gerais», tem por epígrafe «Âmbito de aplicação material» e prevê, no seu n.^o 1:

«O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.»

5        O artigo 4.^o do referido regulamento, sob a epígrafe «Definições», dispõe:

«Para efeitos do presente regulamento, entende‑se por:

1)      “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); […]

[…]

7)      “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; […]

[…]

10)      “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

[…]

12)      “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

[…]»

6        O capítulo II do RGPD, sob a epígrafe «Princípios», inclui os artigos 5.^o a 11.^o deste.

7        O artigo 5.^o deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1.      Os dados pessoais são:

[…]

f)      Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”);

2.      O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

8        O artigo 6.^o do referido regulamento, sob a epígrafe «Licitude do tratamento», define, no seu n.^o 1, as condições que devem estar reunidas para que o tratamento seja lícito.

9        O capítulo IV do RGPD, sob a epígrafe «Responsável pelo tratamento e subcontratante», inclui os artigos 24.^o a 43.^o deste.

10      Este artigo 24.^o, incluído na secção 1 deste capítulo IV, intitulada «Obrigações gerais», tem por epígrafe «Responsabilidade do responsável pelo tratamento» e enuncia, nos seus n.^os 1 e 2:

«1.      Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2.      Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.^o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.»

11      O artigo 32.^o do RGDP, incluído na secção 2 do referido capítulo IV, intitulada «Segurança dos dados pessoais», tem por epígrafe «Segurança do tratamento» e dispõe, nos seus n.^os 1, alínea b), e 2:

«1.      Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:

[…]

b)      A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

[…]

2.      Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.»

12      O capítulo VIII do RGPD, intitulado «Vias de recurso, responsabilidade e sanções», contém os artigos 77.^o a 84.^o deste.

13      Nos termos do artigo 82.^o deste regulamento, sob a epígrafe «Direito de indemnização e responsabilidade»:

«1.      Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2.      Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. […]

3.      O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.^o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

[…]»

14      O artigo 83.^o do RGPD, sob a epígrafe «Condições gerais para a aplicação de coimas», prevê:

«1.      Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.^os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2.      […] Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a)      A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b)      O caráter intencional ou negligente da infração;

[…]

d)      O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.^o e 32.^o;

[…]

k)      Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3.      Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

[…]»

15      O artigo 84.^o deste regulamento, sob a epígrafe «Sanções», dispõe, no seu n.^o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo [83.^o], e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

 Litígio no processo principal e questões prejudiciais

16      O demandante no processo principal deslocou‑se ao estabelecimento comercial da Saturn, onde adquiriu um eletrodoméstico. Para o efeito, foi celebrado um contrato de compra e venda e de crédito por um trabalhador desta sociedade. Nessa ocasião, este introduziu no sistema informático da Saturn vários dados pessoais desse cliente, a saber, o seu apelido e nome próprio, morada, local de residência, entidade patronal, rendimentos e dados bancários.

17      Os documentos contratuais que incluíam esses dados pessoais foram impressos e assinados por ambas as partes. Em seguida, o demandante no processo principal entregou‑os aos trabalhadores da Saturn que trabalhavam no local de saída das mercadorias. Um outro cliente, que se tinha sub‑repticiamente posto à frente do demandante no processo principal, recebeu então, por erro, tanto o aparelho por ele encomendado como os documentos em causa, e levou tudo consigo.

18      Como o erro foi rapidamente detetado, um trabalhador da Saturn obteve a restituição do aparelho e dos documentos, tendo‑os depois devolvido ao demandante no processo principal, meia hora depois da sua entrega ao outro cliente. A empresa quis indemnizar o demandante no processo principal por esse erro entregando‑lhe gratuitamente o aparelho em causa no seu domicílio, mas o interessado considerou esta indemnização insuficiente.

19      O demandante no processo principal intentou no Amtsgericht Hagen (Tribunal de Primeira Instância de Hagen, Alemanha), que é o órgão jurisdicional de reenvio no presente processo, uma ação destinada a obter, nomeadamente com fundamento nas disposições do RGPD, uma indemnização pelos danos imateriais que afirma ter sofrido devido ao erro cometido pelos trabalhadores da Saturn e ao risco de perda de controlo daí decorrente para os seus dados pessoais.

20      Em sua defesa, a Saturn objeta, por um lado, que não houve violação do RGPD e que esta última só se poderia verificar se ultrapassasse um determinado limiar de gravidade, não alcançado no caso em apreço. Por outro lado, esta sociedade alega que o demandante no processo principal não sofreu danos, uma vez que não foi constatado nem sequer invocado que o terceiro envolvido tivesse feito uma utilização abusiva dos dados pessoais do interessado.

21      O órgão jurisdicional de reenvio interroga‑se, primeiro, sobre a validade do artigo 82.^o do RGPD, pelo facto de este artigo lhe parecer desprovido de precisão quanto aos seus efeitos jurídicos em caso de indemnização de danos imateriais.

22      Segundo, na hipótese de o Tribunal de Justiça não declarar este artigo 82.^o inválido, interroga‑se sobre se o exercício do direito à indemnização nele previsto pressupõe que se demonstre não só a existência de violação do RGPD mas também de danos, em particular imateriais, sofridos pela pessoa que pede a indemnização.

23      Terceiro, o órgão jurisdicional de reenvio pretende determinar se o simples facto de documentos impressos que contêm dados pessoais terem sido transmitidos sem autorização a um terceiro, devido a um erro cometido por trabalhadores do responsável pelo tratamento, permite ou não caracterizar uma violação do RGPD.

24      Quarto, embora considere que «o ónus da prova de inocência incumbirá à [empresa demandada]», esse órgão jurisdicional pretende saber se basta constatar que tal entrega de documentos por negligência se produziu, para considerar que se verifica uma violação do RGPD, especialmente no que respeita à obrigação que incumbe ao responsável pelo tratamento de aplicar medidas adequadas para garantir a segurança dos dados tratados, por força dos artigos 2.^o, 5.^o, 6.^o e 24.^o deste regulamento.

25      Quinto, o órgão jurisdicional de reenvio pergunta se, mesmo quando se afigure que o terceiro não autorizado não tomou conhecimento dos dados pessoais em causa antes de devolver os documentos de onde constavam estes dados, a existência de «danos imateriais», na aceção do artigo 82.^o do RGPD, pode ser demonstrada pelo simples facto de a pessoa cujos dados foram assim transmitidos sentir receio face ao risco, que não pode ser excluído segundo esse órgão jurisdicional, de estes serem comunicados a outros indivíduos por esse terceiro, ou mesmo utilizados de forma abusiva, no futuro.

26      Sexto, o referido órgão jurisdicional interroga‑se sobre a eventual incidência, no âmbito de uma ação de indemnização por danos imateriais baseada neste artigo 82.^o, do grau de gravidade decorrente de uma violação cometida em circunstâncias como as do processo principal, tendo em conta que, em seu entender, o responsável pelo tratamento poderia ter adotado medidas de segurança mais eficazes.

27      Por último, sétimo, pretende conhecer a finalidade da indemnização por danos imateriais devida nos termos do RGPD, sugerindo que esta última poderá ter um caráter sancionatório equivalente ao de uma cláusula penal.

28      Nestas condições, o Amtsgericht Hagen (Tribunal de Primeira Instância de Hagen) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      A norma relativa ao direito de indemnização prevista no [RGDP] (artigo 82.^o [deste regulamento]) é ineficaz, por falta de precisão, no que diz respeito às consequências jurídicas a ordenar em caso de danos morais?

2)      É necessário, para que uma indemnização possa ser exigida, que, para além da divulgação indevida dos dados a proteger a um terceiro não autorizado, sejam declarados danos morais que o requerente tenha de demonstrar?

3)      É suficiente, para haver violação do [RGPD], que os dados pessoais da pessoa em questão (nome, morada, profissão, rendimentos, empregador) tenham sido, por engano, transmitidos num documento em papel a um terceiro, devido a um erro cometido pelos trabalhadores da empresa em atividade?

4)      Existe tratamento posterior ilegal por transmissão acidental (divulgação) a terceiros se a empresa, através dos seus trabalhadores tiver divulgado por engano a terceiros não autorizados, sob forma impressa, os dados que são, além disso, inseridos no sistema informático de tratamento de dados [artigo 2.^o, n.^o 1, artigo 5.^o, n.^o 1, alínea f), artigo 6.^o, n.^o 1, e artigo 24.^o do [RGPD]]?

5)      Existe desde logo um dano moral na aceção do artigo 82.^o do [RGPD] se o terceiro que recebeu o documento que contém os dados pessoais não tiver tomado conhecimento dos dados antes de o documento que contém a informação ter sido restituído, ou é suficiente, para que haja dano moral na aceção do artigo 82.^o do [RGPD], a sensação de desconforto da pessoa cujos dados pessoais foram ilegalmente transmitidos, uma vez que qualquer divulgação não autorizada de dados pessoais ocasiona a possibilidade, que não pode ser excluída, de que os dados possam ser divulgados a um número desconhecido de pessoas ou mesmo utilizados indevidamente?

6)      Quão grave deve a violação ser considerada se a transmissão acidental a terceiros puder ser evitada através de um melhor controlo dos trabalhadores auxiliares que trabalham na empresa e/ou através de uma melhor organização da segurança dos dados, como, por exemplo, a gestão separada da entrega das mercadorias e da documentação contratual, especialmente da documentação respeitante ao financiamento, através de uma guia de entrega separada ou mediante transferência dentro da empresa para os trabalhadores no posto de entrega de mercadorias — sem a intervenção do cliente a quem foram entregues os documentos impressos, incluindo a autorização de levantamento, [artigo 32.^o, n.^o 1, alínea b), e n.^o 2, bem como o artigo 4.^o, ponto 7, do [RGPD]]?

7)      Deve a indemnização por danos morais ser entendida como a aplicação de uma sanção semelhante a uma sanção contratual?»

 Quanto às questões prejudiciais

 Quanto à primeira questão

29      Com a primeira questão, o órgão jurisdicional de reenvio pergunta se o artigo 82.^o do RGPD é inválido por não especificar as consequências jurídicas que se impõem no âmbito da indemnização por danos imateriais.

30      O Parlamento Europeu sustenta que esta questão é inadmissível, uma vez que o órgão jurisdicional de reenvio não cumpriu os requisitos do artigo 94.^o, alínea c), do Regulamento de Processo do Tribunal de Justiça, quando esse órgão jurisdicional suscita uma problemática particularmente complexa, a saber, a apreciação da validade de uma disposição do direito da União.

31      Em conformidade com o artigo 94.^o, alínea c), do Regulamento de Processo, o pedido de decisão prejudicial deve conter, nomeadamente, além do texto das questões submetidas ao Tribunal de Justiça a título prejudicial, uma exposição das razões que conduziram o órgão jurisdicional de reenvio a interrogar‑se sobre a interpretação ou a validade de certas disposições do direito da União.

32      A este respeito, a exposição de fundamentos do reenvio prejudicial é indispensável para permitir não só ao Tribunal de Justiça dar respostas úteis mas também aos governos dos Estados‑Membros e aos outros interessados apresentar observações, em conformidade com o artigo 23.^o do Estatuto do Tribunal de Justiça da União Europeia. Mais concretamente, é à luz das causas de invalidade enunciadas na decisão de reenvio que o Tribunal de Justiça tem de examinar a validade de uma disposição do direito da União, de modo que a falta de menção das razões específicas que conduziram o órgão jurisdicional de reenvio a interrogar‑se a este respeito determina a inadmissibilidade das questões relativas à referida validade (v., neste sentido, Acórdãos de 15 de junho de 2017, T.KUP, C‑349/16, EU:C:2017:469, n.^os 16 a 18, e de junho de 2023, Vitol, C‑268/22, EU:C:2023:508, n.^os 52 a 55).

33      Ora, no caso em apreço, o órgão jurisdicional de reenvio não expõe nenhum elemento exato que permita ao Tribunal de Justiça examinar a validade do artigo 82.^o do RGPD.

34      Consequentemente, a primeira questão deve ser declarada inadmissível.

 Quanto à terceira e quarta questões

35      Com a terceira e quarta questões, que importa examinar em conjunto e em primeiro lugar, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 5.^o, 24.^o, 32.^o e 82.^o do RGPD, lidos em conjunto, devem ser interpretados no sentido de que, no âmbito de uma ação de indemnização intentada ao abrigo deste artigo 82.^o, o facto de os trabalhadores do responsável pelo tratamento terem entregado, por erro, um documento que continha dados pessoais a um terceiro não autorizado basta, por si só, para considerar que as medidas técnicas e organizativas aplicadas pelo responsável pelo tratamento em causa não eram «adequadas», na aceção destes artigos 24.^o e 32.^o

36      O artigo 24.^o do RGPD prevê uma obrigação geral, que impende sobre o responsável pelo tratamento de dados pessoais, de aplicar medidas técnicas e organizativas adequadas para assegurar que o referido tratamento é realizado em conformidade com este regulamento e de o poder demonstrar (Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 24).

37      Por sua vez, o artigo 32.^o do RGPD especifica as obrigações do responsável pelo tratamento e do eventual subcontratante em relação à segurança desse tratamento. Assim, o n.^o 1 deste artigo dispõe que estes últimos devem aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado aos riscos associados ao referido tratamento, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento em causa. Do mesmo modo, o n.^o 2 do referido artigo enuncia que, ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^os 26 e 27).

38      Resulta, assim, da redação dos artigos 24.^o e 32.^o do RGPD que a adequação das medidas aplicadas pelo responsável pelo tratamento deve ser avaliada em concreto, tendo em conta os vários critérios previstos nestes artigos e as necessidades de proteção dos dados especificamente inerentes ao tratamento em causa e aos riscos induzidos por este último, tanto mais que o referido responsável deve poder demonstrar a conformidade das referidas medidas com este regulamento, possibilidade de que ficaria privado se fosse admitida uma presunção inilidível (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^os 30 a 32).

39      Esta interpretação literal é corroborada pela leitura conjugada dos referidos artigos 24.^o e 32.^o com o artigo 5.^o, n.^o 2, e 82.^o do referido regulamento, lidos à luz dos seus considerandos 74, 76 e 83, dos quais resulta, em particular, que o responsável pelo tratamento é obrigado a atenuar os riscos de violação dos dados pessoais, e não a impedir essa violação (v., neste sentido, acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^os 33 a 38).

40      Por conseguinte, o Tribunal de Justiça interpretou os artigos 24.^o e 32.^o do RGPD no sentido de que a divulgação não autorizada de dados pessoais ou o acesso não autorizado a esses dados por «terceiros», na aceção do artigo 4.^o, ponto 10, deste regulamento, não são suficientes, por si só, para se considerar que as medidas técnicas e organizativas aplicadas pelo responsável pelo tratamento em causa não eram «adequadas», na aceção dos artigos 24.^o e 32.^o (Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 39).

41      Neste caso, o facto de os trabalhadores do responsável pelo tratamento terem entregado, por erro, um documento que continha dados pessoais a um terceiro não autorizado pode revelar que as medidas técnicas e organizativas aplicadas pelo responsável pelo tratamento em causa não eram «adequadas», na aceção dos referidos artigos 24.^o e 32.^o Em especial, tal circunstância pode resultar de negligência ou de uma falha na organização do responsável pelo tratamento, que não tem concretamente em conta os riscos associados ao tratamento dos dados em causa.

42      A este respeito, importa sublinhar que resulta da leitura conjugada dos artigos 5.^o, 24.^o e 32.^o do RGPD, lidos à luz do seu considerando 74, que, no âmbito de uma ação de indemnização intentada ao abrigo do artigo 82.^o deste regulamento, o ónus de provar que os dados pessoais são tratados de forma que garanta a sua segurança adequada, na aceção do artigo 5.^o, n.^o 1, alínea f), e do artigo 32.^o do referido regulamento, incumbe ao responsável pelo tratamento em causa. Tal repartição do ónus da prova é de molde não só a incentivar os responsáveis pelo tratamento desses dados a adotarem as medidas de segurança exigidas pelo RGPD mas também a salvaguardar o efeito útil do direito de indemnização previsto no artigo 82.^o deste regulamento e a respeitar as intenções do legislador da União mencionadas no seu considerando 11 (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 56).

43      Por conseguinte, o Tribunal de Justiça interpretou o princípio da responsabilidade do responsável pelo tratamento, enunciado no artigo 5.^o, n.^o 2, do RGPD e concretizado no seu artigo 24.^o, no sentido de que, no âmbito de uma ação de indemnização intentada ao abrigo artigo 82.^o deste regulamento, o responsável pelo tratamento em causa suporta o ónus de provar a adequação das medidas de segurança que aplicou ao abrigo do artigo 32.^o do referido regulamento (Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 57).

44      Assim, o órgão jurisdicional chamado a pronunciar‑se sobre essa ação de indemnização baseada no artigo 82.^o do RGPD não pode ter em conta exclusivamente a circunstância de os trabalhadores do responsável pelo tratamento terem entregado, por erro, um documento que continha dados pessoais a um terceiro não autorizado, para determinar se existe violação de uma obrigação prevista neste regulamento. Com efeito, esse órgão jurisdicional deve também tomar em consideração todos os elementos de prova que o responsável pelo tratamento forneceu para demonstrar a adequação das medidas técnicas e organizativas que adotou para dar cumprimento às suas obrigações nos termos dos artigos 24.^o e 32.^o do referido regulamento.

45      Atendendo aos fundamentos expostos, há que responder à terceira e quarta questões que os artigos 5.^o, 24.^o, 32.^o e 82.^o do RGPD, lidos em conjunto, devem ser interpretados no sentido de que, no âmbito de uma ação de indemnização intentada ao abrigo deste artigo 82.^o, o facto de os trabalhadores do responsável pelo tratamento terem entregado, por erro, um documento que continha dados pessoais a um terceiro não autorizado não basta, por si só, para considerar que as medidas técnicas e organizativas aplicadas pelo responsável pelo tratamento em causa não eram «adequadas», na aceção destes artigos 24.^o e 32.^o

 Quanto à sétima questão

46      Com a sétima questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição, nomeadamente em caso de danos imateriais, desempenha uma função punitiva.

47      A este respeito, o Tribunal de Justiça declarou que o artigo 82.^o do RGPD não reveste função punitiva, mas sim compensatória, contrariamente a outras disposições deste regulamento que também figuram no seu capítulo VIII, a saber, os seus artigos 83.^o e 84.^o, que, por seu turno, têm essencialmente finalidade punitiva, uma vez que permitem, respetivamente, aplicar coimas e outras sanções. A articulação entre as regras enunciadas no referido artigo 82.^o e as enunciadas nos referidos artigos 83.^o e 84.^o demonstra que existe uma diferença entre estas duas categorias de disposições, mas também uma complementaridade, em termos de incentivo ao respeito pelo RGPD, observando‑se que o direito da pessoa a pedir a indemnização de um dano reforça o caráter operacional das regras de proteção previstas neste regulamento e é suscetível de desencorajar a repetição de comportamentos ilícitos [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 38 e 40, e de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 85].

48      O Tribunal de Justiça esclareceu que, uma vez que o direito de indemnização previsto no artigo 82.^o, n.^o 1, do RGPD não desempenha uma função dissuasiva, ou mesmo punitiva, mas desempenha uma função compensatória, a gravidade da violação deste regulamento que causou o dano em causa não pode influenciar o montante da indemnização concedida ao abrigo desta disposição, mesmo quando não se trate de um dano material mas imaterial, pelo que esse montante não pode ser fixado num nível que exceda a compensação completa desse prejuízo (v., neste sentido, Acórdão de 21 dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^os 86 e 87).

49      Resulta do exposto que não é necessário pronunciar‑se sobre a aproximação, ponderada pelo órgão jurisdicional de reenvio, entre a finalidade visada pelo direito de indemnização consagrado neste artigo 82.^o, n.^o 1, e a função punitiva de uma cláusula penal.

50      Por conseguinte, há que responder à sétima questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que o direito de indemnização previsto nesta disposição, nomeadamente em caso de danos imateriais, desempenha uma função compensatória, uma vez que a reparação pecuniária baseada na referida disposição deve permitir compensar integralmente o prejuízo concretamente sofrido pela violação deste regulamento, e não uma função punitiva.

 Quanto à sexta questão

51      Com a sexta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o do RGPD deve ser interpretado no sentido de que este artigo exige que o grau de gravidade da violação deste regulamento cometida pelo responsável pelo tratamento seja tido em conta para efeitos da reparação de danos com fundamento nesta disposição.

52      A este respeito, resulta do artigo 82.^o do RGPD que, por um lado, a responsabilidade do responsável pelo tratamento está designadamente subordinada à existência de culpa deste, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável, e, por outro, este artigo 82.^o não exige que a gravidade dessa culpa seja tida em conta quando da fixação do montante da indemnização concedida a título de reparação de um dano imaterial ao abrigo desta disposição (Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 103).

53      No que respeita à avaliação da indemnização eventualmente devida por força do artigo 82.^o do RGPD, porquanto este regulamento não contém disposições com esse objeto, os juízes nacionais devem, para efeito dessa avaliação, aplicar as normas internas de cada Estado‑Membro relativas ao alcance da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União (v., neste sentido, Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^os 83 e 101 e jurisprudência referida).

54      Além disso, o Tribunal de Justiça esclareceu que, tendo em conta a função compensatória do direito de indemnização previsto no artigo 82.^o do RGPD, esta disposição não exige que a gravidade da violação deste regulamento, que se presume que o responsável pelo tratamento cometeu, seja tida em conta na fixação do montante da indemnização por danos imateriais atribuída com base na referida disposição, mas exige que esse montante seja fixado de modo que compense integralmente o prejuízo concretamente sofrido devido à violação do referido regulamento (v., neste sentido, Acórdão de 21 de dezem bro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^os 84 a 87 e 102 e jurisprudência referida).

55      Atendendo aos fundamentos expostos, há que responder à sexta questão que o artigo 82.^o do RGPD deve ser interpretado no sentido de que este artigo não exige que o grau de gravidade da violação cometida pelo responsável pelo tratamento seja tido em conta para efeitos da reparação de danos com fundamento nesta disposição.

 Quanto à segunda questão

56      Com a segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que a pessoa que pede uma indemnização ao abrigo desta disposição é obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou danos materiais ou imateriais.

57      A este respeito, importa recordar que, nos termos do artigo 82.^o, n.^o 1, do RGPD, «[q]ualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos».

58      Resulta da redação desta disposição que a simples violação do RGPD não basta para conferir o direito de indemnização. Com efeito, a existência de «danos» ou de «danos sofridos» constitui um dos requisitos do direito de indemnização previsto neste artigo 82.^o, n.^o 1, bem como a existência de uma violação deste regulamento e de um nexo de causalidade entre esses danos e essa violação, uma vez que estes três requisitos são cumulativos [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 32 e 42; de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 77; de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^o 14; e de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.^o 82].

59      No que respeita mais concretamente aos danos imateriais, o Tribunal de Justiça também declarou que o artigo 82.^o, n.^o 1, do RGPD se opõe a uma norma ou a uma prática nacional que subordina a indemnização de danos imateriais, na aceção desta disposição, à condição de os danos sofridos pelo titular dos dados, tal como definido no artigo 4.^o, ponto 1, deste regulamento, atingirem um certo grau de gravidade [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^o 51; de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 78; e de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^o 16].

60      O Tribunal de Justiça esclareceu que a pessoa afetada por uma violação do RGPD que tenha produzido consequências negativas a seu respeito está, todavia, obrigada a demonstrar que estas consequências constituem danos imateriais, na aceção do artigo 82.^o deste regulamento, dado que a simples violação das disposições deste não é suficiente para conferir o direito de indemnização [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 42 e 50; de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^o 84; e de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^os 21 e 23].

61      Atendendo aos fundamentos anteriores, há que responder à segunda questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que a pessoa que pede uma indemnização ao abrigo desta disposição é obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou danos materiais ou imateriais.

 Quanto à quinta questão

62      Com a quinta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, na hipótese de um documento que continha dados pessoais ter sido entregue a um terceiro não autorizado que se prove não ter tomado conhecimento desses dados, os «danos imateriais», na aceção desta disposição, são suscetíveis de se verificarem pelo simples facto de o titular dos dados recear que, na sequência dessa comunicação que tornou possível a realização de uma cópia do referido documento antes da sua restituição, se produza no futuro a divulgação, ou mesmo a utilização abusiva, dos seus dados.

63      Importa especificar que esse órgão jurisdicional refere que, no caso em apreço, o documento no qual figuravam os dados em causa foi devolvido ao demandante no processo principal meia hora depois da entrega ao terceiro não autorizado e que este não tomou conhecimento desses dados antes da devolução do documento, mas o referido demandante alega que essa entrega deu a esse terceiro a possibilidade de tirar cópias do documento antes de o devolver e que, portanto, criou nele um receio ligado ao risco de uma utilização abusiva dos referidos dados no futuro.

64      Dada a inexistência de referência, no artigo 82.^o, n.^o 1, do RGPD, ao direito interno dos Estados‑Membros, o conceito de «danos imateriais», na aceção desta disposição, deve acolher uma definição autónoma e uniforme, própria do direito da União [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.^os 30 e 44, e de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^o 15].

65      O Tribunal de Justiça declarou que resulta não só da redação do artigo 82.^o, n.^o 1, do RGPD, lido à luz dos considerandos 85 e 146 deste regulamento, que convidam a adotar uma conceção ampla do conceito de «danos imateriais» na aceção desta primeira disposição, mas também do objetivo que consiste em garantir um elevado nível de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, visado pelo referido regulamento, que o receio de uma potencial utilização abusiva dos seus dados pessoais por terceiros que um titular dos dados tenha na sequência de uma violação do mesmo regulamento é suscetível, por si só, de constituir «danos imateriais», na aceção deste artigo 82.^o, n.^o 1 (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.^os 79 a 86).

66      Por outro lado, baseando‑se também em considerações de ordem simultaneamente literal, sistémica e teleológica, o Tribunal de Justiça considerou que a perda de controlo sobre dados pessoais durante um curto período de tempo pode causar ao titular dos dados «danos imateriais», na aceção do artigo 82.^o, n.^o 1, do RGPD, conferindo o direito a indemnização, desde que a referida pessoa demonstre ter efetivamente sofrido esses danos, por mínimos que sejam, recordando‑se que a simples violação das disposições deste regulamento não basta para conferir o direito a indemnização com esse fundamento (v., neste sentido, Acórdão de 14 de dezembro de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, n.^os 18 a 23).

67      Do mesmo modo, no caso em apreço, importa salientar que é simultaneamente conforme com a redação do artigo 82.^o, n.^o 1, do RGPD e com o objetivo de proteção visado por este regulamento que o conceito de «danos imateriais» englobe uma situação em que o titular dos dados tem um receio fundado, o que cabe ao órgão jurisdicional nacional chamado a pronunciar‑se verificar, de que alguns dos seus dados pessoais sejam objeto de divulgação ou de utilização abusiva por terceiros no futuro, devido ao facto de um documento que continha os referidos dados ter sido entregue a um terceiro não autorizado que teve a oportunidade de fazer cópias do mesmo antes de o restituir.

68      Contudo, não deixa de ser verdade que cabe ao demandante numa ação de indemnização com base no artigo 82.^o do RGPD demonstrar a existência desses danos. Concretamente, o risco puramente hipotético de utilização abusiva por terceiros não autorizados não pode dar lugar a reparação. É o que acontece quando nenhum terceiro toma conhecimento dos dados pessoais em causa.

69      Assim, há que responder à quinta questão que o artigo 82.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que, na hipótese de um documento que continha dados pessoais ter sido entregue a um terceiro não autorizado que se prove não ter tomado conhecimento desses dados, os «danos imateriais», na aceção desta disposição, não se verificam pelo simples facto de o titular dos dados recear que, na sequência dessa comunicação que tornou possível a realização de uma cópia do referido documento antes da sua restituição, se produza no futuro a divulgação, ou mesmo a utilização abusiva, dos seus dados.

 Quanto às despesas

70      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

1)      Os artigos 5.^o, 24.^o, 32.^o e 82.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), lidos em conjunto,

devem ser interpretados no sentido de que:

no âmbito de uma ação de indemnização intentada ao abrigo deste artigo 82.^o, o facto de os trabalhadores do responsável pelo tratamento terem entregado, por erro, um documento que continha dados pessoais a um terceiro não autorizado não basta, por si só, para considerar que as medidas técnicas e organizativas aplicadas pelo responsável pelo tratamento em causa não eram «adequadas», na aceção destes artigos 24.^o e 32.^o

2)      O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

o direito de indemnização previsto nesta disposição, nomeadamente em caso de danos imateriais, desempenha uma função compensatória, uma vez que a reparação pecuniária baseada na referida disposição deve permitir compensar integralmente o prejuízo concretamente sofrido pela violação deste regulamento, e não uma função punitiva.

3)      O artigo 82.^o do Regulamento 2016/679

deve ser interpretado no sentido de que:

este artigo não exige que o grau de gravidade da violação cometida pelo responsável pelo tratamento seja tido em conta para efeitos da reparação de danos com fundamento nesta disposição.

4)      O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

a pessoa que pede uma indemnização ao abrigo desta disposição é obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou danos materiais ou imateriais.

5)      O artigo 82.^o, n.^o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

na hipótese de um documento que continha dados pessoais ter sido entregue a um terceiro não autorizado que se prove não ter tomado conhecimento desses dados, os «danos imateriais», na aceção desta disposição, não se verificam pelo simples facto de o titular dos dados recear que, na sequência dessa comunicação que tornou possível a realização de uma cópia do referido documento antes da sua restituição, se produza no futuro a divulgação, ou mesmo a utilização abusiva, dos seus dados.

Assinaturas

*      Língua do processo: alemão.