CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

CONCLUSÕES DO ADVOGADO‑GERAL

MANUEL CAMPOS SÁNCHEZ‑BORDONA

apresentadas em 6 de outubro de 2022 (1)

Processo C‑300/21

contra

Österreichische Post AG

[pedido de decisão prejudicial apresentado pelo Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria)]

«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Danos não patrimoniais resultantes de um tratamento ilícito de dados — Requisitos do direito a indemnização — Danos acima de um determinado limiar de gravidade»

1. O Regulamento (UE) 2016/679 (2) confere a qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação das suas disposições direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante.

2. A possibilidade de reclamar esse direito pela via jurisdicional já se encontrava prevista na regulamentação anterior (artigo 23.^o da Diretiva 95/46/CE) (3), embora tenha sido pouco utilizada (4). Salvo erro da minha parte, o Tribunal de Justiça ainda não procedeu à interpretação específica desse artigo.

3. Na vigência do RGPD as ações de indemnização tornaram‑se mais relevantes (5). O seu aumento é percetível nos tribunais dos Estados‑Membros e reflete‑se nos reenvios prejudiciais correspondentes (6) Neste reenvio prejudicial, o Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria) convida o Tribunal de Justiça a delinear algumas características comuns do regime de responsabilidade civil estabelecido pelo RGPD.

I. Quadro jurídico. RGPD

4. São pertinentes para este litígio, nomeadamente, os considerandos que figuram no preâmbulo do RGPD sob os números 75, 85 e 146.

5. O artigo 6.^o («Licitude do tratamento») tem a seguinte redação:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

[…]»

6. O artigo 79.^o («Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante»), n.^o 1, prevê:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.^o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

7. O artigo 82.^o («Direito de indemnização e responsabilidade»), n.^o 1, dispõe:

«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»

II. Matéria de facto, litígio e questões prejudiciais

8. Desde 2017, a Österreichische Post AG, empresa editora de endereços, recolheu informações sobre as afinidades partidárias da população austríaca. Por meio de um algoritmo e segundo critérios sociodemográficos, definia os «endereços de grupos‑alvo».

9. UI é uma pessoa singular relativamente a quem a Österreichische Post procedeu a uma extrapolação estatística, para determinar a sua classificação no âmbito dos possíveis grupos‑alvo para a publicidade eleitoral de diversos partidos políticos. Resultava desta extrapolação que UI apresentava uma forte afinidade com um deles. Estes dados não foram transferidos a terceiros.

10. UI, que não tinha prestado o seu consentimento ao tratamento dos dados pessoais, ficou descontente com a conservação dos dados relativos às suas simpatias partidárias, indignado e ofendido com a afinidade que, concretamente, a Österreichische Post lhe atribuiu.

11. UI pediu a concessão de uma indemnização de 1 000 euros por danos imateriais (inquietação interior). Alega que a afinidade partidária que lhe é atribuída é um insulto e o envergonha, além de causar um dano ao seu bom nome. Acrescenta que a conduta da Österreichische Post lhe causou grande descontentamento e espoletou uma perda de confiança e um sentimento de exposição pública.

12. O tribunal de primeira instância indeferiu o pedido de indemnização de UI (7).

13. O tribunal de recurso confirmou a sentença proferida em primeira instância. Declarou que nem todas as violações do RGPD implicam automaticamente um direito a indemnização por danos imateriais e que:

— Uma vez que o direito austríaco é aplicável como complemento ao RGPD, são apenas indemnizáveis os danos que vão além do descontentamento ou dos danos emocionais («Gefühlsschaden») provocados pela violação dos direitos do recorrente.

— Há que respeitar o princípio, subjacente à legislação austríaca, segundo o qual cada um deve suportar, sem qualquer consequência em termos de indemnização, um mero desconforto e uma simples inquietação. Por outras palavras, o direito a indemnização exige uma certa gravidade dos danos alegados.

14. O acórdão do tribunal de recurso foi objeto de recurso no Oberster Gerichtshof (Supremo Tribunal de Justiça), que submete ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) A concessão de uma indemnização nos termos do artigo 82.^o do RGPD […], exige, a par da violação das disposições do RGPD, que o [recorrente] tenha sofrido um dano ou a violação de disposições do RGPD é suficiente, por si só, para permitir a concessão de uma indemnização?

2) Para efeitos da avaliação da indemnização, existem outros requisitos do direito da União além dos princípios da efetividade e da equivalência?

3) É compatível com o direito da União o entendimento de que a concessão de uma indemnização por danos [imateriais] pressupõe a existência de uma consequência ou efeito da violação do direito que tenha alguma gravidade e que vá além do descontentamento causado pela violação do direito?»

III. Tramitação processual

15. O pedido de decisão prejudicial foi registado no Tribunal de Justiça em 12 de maio de 2021.

16. Apresentaram observações escritas UI, a Österreichische Post, os Governos austríaco, checo, e irlandês e a Comissão Europeia. Não foi considerada necessária a realização de audiência.

IV. Análise

A. Preliminares

1. Admissibilidade

17. UI sustenta que a primeira questão prejudicial não é pertinente para o litígio, uma vez que o seu pedido não se baseou na «simples» violação de uma disposição do RGPD, mas sim nas suas consequências ou efeitos.

18. A exceção de inadmissibilidade deve ser rejeitada. Mesmo que se admitisse que o tratamento de dados violou o RGPD sem dano para UI, este poderia ter direito de indemnização ao abrigo do artigo 82.^o do RGPD, se, como pergunta o órgão jurisdicional de reenvio, se viesse a confirmar que a simples violação de uma disposição relativa ao tratamento origina esse direito.

19. Segundo UI, o Tribunal de Justiça poderia igualmente considerar a segunda questão prejudicial inadmissível por ser muito aberta quanto ao seu conteúdo e excessivamente limitada no que respeita às exigências do direito da União, sem referir nenhuma em particular.

20. Esta objeção, ainda que mais fundada do que a anterior, também não pode ser considerada procedente. É legítimo que um órgão jurisdicional pretenda saber se, além do respeito dos princípios da equivalência e da efetividade, deve apreciar outros requisitos impostos pelo direito da União para avaliar o dano.

2. Delimitação do objeto das presentes conclusões

21. O artigo 82.^o do RGPD contém seis números. O órgão jurisdicional de reenvio não se refere a nenhum em especial, mas recorre implicitamente ao primeiro deles. Também não especifica a disposição cuja violação daria lugar a indemnização.

22. As minhas conclusões terão como ponto de partida as seguintes premissas:

— O tratamento de dados pessoais de UI foi efetuado sem obter o seu consentimento na aceção do artigo 6.^o, n.^o 1, alínea a), do RGPD.

— O direito a indemnização cabe a qualquer pessoa que tenha sofrido um dano. No presente processo, enquanto pessoa singular identificada e afetada pelo tratamento, UI é «titular dos dados» (8).

— O RGPD prevê a indemnização de danos materiais e imateriais. A reclamação de UI limita‑se a estes últimos e tem um conteúdo pecuniário.

B. Primeira questão prejudicial

23. Com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber, em substância, se a simples violação das disposições do RGPD confere um direito a indemnização, independentemente de ter originado, ou não, um dano.

24. Pode deduzir‑se das afirmações do órgão de reenvio e das observações apresentadas ao Tribunal de Justiça que a questão admite igualmente outra leitura, um pouco mais complexa: trata‑se de determinar se a violação das disposições do RGPD implica necessariamente um dano que dá origem ao direito a indemnização, sem que o demandado tenha a possibilidade de demonstrar o contrário.

25. Existe uma certa diferença (teórica) entre estas duas abordagens: na primeira, o dano não é um pressuposto da indemnização; em contrapartida, é‑o na segunda. Na prática, a exigência da prova do dano pelo recorrente desaparece em ambos os casos; também não tem de demonstrar o nexo de causalidade entre a violação e esse dano (9).

26. Em todo o caso, adianto que, em meu entender, nenhuma das duas leituras da primeira questão merece resposta afirmativa. Referir‑me‑ei a ambas separadamente.

1. Indemnização sem dano?

27. Afirmar que há direito a indemnização, ainda que da violação do RGPD não resultem danos para o titular dos dados, suscita dificuldades evidentes, começando pela relativa à redação do artigo 82.^o, n.^o 1, desse regulamento.

28. Nos termos dessa disposição, a indemnização (10) é concedida precisamente porque ocorreu um dano prévio. Por conseguinte, exige‑se de forma inequívoca, que a pessoa singular tenha sofrido um dano devido a uma violação do RGPD.

29. A interpretação que associa, de forma automática, o conceito de «violação» ao de «compensação» sem a ocorrência de dano não se coaduna, portanto, com a redação do artigo 82.^o do RGPD. Também não se coaduna com o objetivo primário da responsabilidade civil introduzido pelo RGPD, que consiste em que o titular dos dados seja «integral e efetivamente» indemnizado pelos danos que tenha sofrido (11).

30. Na falta do dano, a indemnização já não exerceria uma função de reparação das consequências desfavoráveis que a violação gerou, mas sim uma função de natureza diferente, mais próxima da função sancionadora.

31. Todavia, é verdade que a ordem jurídica de um Estado‑Membro pode prever o pagamento de uma indemnização a título punitivo (12). Entende‑se como tal a condenação no pagamento de um montante substancial, para além da estrita reparação do dano.

32. Em geral, as indemnizações de natureza punitiva não dispensam a existência prévia do dano. Tomando este como ponto de partida, dissociam, no entanto, as suas consequências patrimoniais do montante da reparação correspondente a esse dano.

33. Todavia, não é inconcebível que uma indemnização de natureza punitiva dispense o dano ou o considere irrelevante para satisfazer quem a pediu.

34. A resposta à primeira questão prejudicial obriga‑me a analisar a inserção deste tipo de indemnizações no RGPD, tanto mais que o despacho de reenvio e as observações das partes e dos intervenientes no reenvio prejudicial se referiram a essas indemnizações.

2. Indemnização de natureza punitiva?

a) Interpretação literal

35. À função clássica da responsabilidade civil pode juntar‑se outra de natureza «punitiva» ou «exemplar», em virtude da qual, como já descrevi, o montante da indemnização não equivale ao dano sofrido, mas aumenta ou até multiplica a sua quantia.

36. Em princípio, o direito da União não se opõe a estas indemnizações, no que respeita à violação das suas normas, se podem ser concedidas no âmbito de ações semelhantes baseadas no direito interno (13).

37. As indemnizações de natureza punitiva têm uma finalidade dissuasiva. Esta mesma finalidade pode efetivar‑se quando, perante a violação de uma diretiva, os Estados‑Membros são chamados a tomar medidas com vista a produzir «um efeito dissuasivo real» (14). Algumas diretivas preveem expressamente que as indemnizações, concebidas como sanções, sejam dissuasivas (15).

38. Em contrapartida, noutros textos o legislador declara que o objetivo de uma diretiva não consiste em «introduzir a obrigação de prever indemnizações punitivas» (16); ou em que os Estados‑Membros tenham de evitar este tipo de indemnizações na sua transposição (17). No direito da União, a condenação direta dos denominados «danos punitivos» é excecional (18).

39. Ora, o RGPD não contém nenhuma referência à natureza punitiva da indemnização por danos materiais ou imateriais, ou ao facto de o cálculo do seu montante refletir essa natureza, ou de essa indemnização ser dissuasiva (qualidade que, em contrapartida, atribui às sanções penais e às coimas) (19). De acordo com o ponto de vista literal não permite conceder indemnizações de natureza punitiva.

b) Interpretação à luz dos antecedentes da disposição

40. O artigo 82.^o, n.^o 1, do RGPD tem como precedente o artigo 23.^o, n.^o 1, da Diretiva 95/46. Este último fazia parte de um sistema que confiava a sua efetividade à aplicação pública e privada (20), mas em que a compensação (privada) e a sanção (pública) não se confundiam (21). A fiscalização do cumprimento das normas incumbia, antes de mais, às autoridades de controlo independentes (22).

41. O RGPD retoma esse modelo, mas reforça os instrumentos úteis para assegurar a eficácia das suas disposições, agora mais pormenorizadas, e das reações previstas, que passaram a ser mais intensas, face à sua violação ou ameaça de violação:

— Por um lado, aumenta as funções das autoridades de controlo, às quais incumbe, entre outras coisas, impor as sanções harmonizadas previstas pelo próprio RGPD (23). Destaca, assim, o elemento de aplicação pública das normas.

— Por outro lado, prevê que os particulares assumam a defesa dos direitos que o RGPD lhes confere (24), quer através da ativação da ação das autoridades de controlo (artigo 77.^o), quer recorrendo à via jurisdicional (artigos 79.^o e 82.^o). Além disso, o artigo 80.^o autoriza determinadas entidades a agir em representação (25), o que facilita a proteção de interesses gerais ao alcance dos particulares (26).

42. O desenvolvimento do regime uniforme de responsabilidade civil por danos no RGPD foi limitado. Aspetos suscetíveis de serem duvidosos na vigência da Diretiva 95/46, como o relativo à inclusão dos danos imateriais entre os indemnizáveis (27), foram imediatamente esclarecidos. A negociação incidiu sobre outros aspetos desse regime (28).

43. Não encontrei nos trabalhos legislativos nenhuma discussão sobre uma eventual função punitiva da responsabilidade civil visada pelo RGPD. Por conseguinte, não se pode deduzir que a mesma está abrangida pelo seu artigo 82.^o, na falta de qualquer debate a esse respeito, tanto mais que se discutiu a sua inclusão noutros textos do direito da União (29),

44. Nestas condições, considero que a ação do artigo 82.^o, n.^o 1, do RGPD foi concebida e regulamentada ao serviço das funções típicas da responsabilidade civil: a que consiste na compensação dos danos (para a pessoa lesada) e, acessoriamente, a relativa à prevenção de danos futuros (para o infrator).

c) Interpretação contextual

45. Como já referi, o artigo 82.^o do RGPD faz parte de um sistema de garantias da efetividade das normas em que a iniciativa privada complementa a sua aplicação pública. A indemnização devida pelos responsáveis do tratamento de dados ou pelos subcontratantes contribui para essa efetividade.

46. O dever de indemnização funciona (idealmente) incentivando uma atuação futura mais cuidadosa, em conformidade com as regras e evitando novos danos. Assim, ao reclamar uma indemnização para si próprio, cada indivíduo contribui para a eficácia geral das normas.

47. Neste âmbito, as funções compensatória e punitiva estão separadas:

— Dizem respeito à segunda as coimas suscetíveis de serem aplicadas pelas autoridades de controlo ou pelos tribunais (artigo 83.^o, n.^os 1 e 9, do RGPD) e outras sanções que os Estados adotem em aplicação do artigo 84.^o do RGPD (30).

— Dizem respeito à primeira a reclamação do particular (artigo 77.^o) e os processos judiciais (artigo 79.^o). Todavia, não compete às autoridades de controlo julgar o direito a indemnização.

48. Na mesma linha de separação das funções de compensação e de sanção:

— Ao aplicar uma coima e estabelecer o seu montante, a autoridade deverá ter em conta os fatores enumerados no artigo 83.^o do RGPD, que não se encontram previstos no âmbito da responsabilidade civil e que, em princípio, não são transponíveis para o cálculo da indemnização (31).

— Se o nível de danos sofridos pelos afetados constituir um fator de graduação da coima (32), o cálculo do seu montante não deve ter em conta a indemnização que possam ter recebido (33).

49. De um ponto de vista teórico, uma interpretação que, na falta de qualquer dano, confia à responsabilidade civil a função punitiva cria o risco de transformar os mecanismos indemnizatórios em mecanismos redundantes relativamente às sanções.

50. Na prática, a facilidade de obter um ganho «punitivo» a título indemnizatório poderia incentivar os titulares dos dados a preferir esta via à do artigo 77.^o do RGPD. Se se generalizasse, as autoridades de controlo ficariam privadas de um instrumento (a reclamação do interessado) para serem chamadas a agir e, portanto, a investigar e sancionar eventuais violações do RGPD, em detrimento dos instrumentos mais adequados à defesa do interesse geral.

d) Interpretação teleológica

51. Os objetivos do RGPD são essencialmente dois, que são desde logo enunciados no seu título: a) por um lado, «a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais»; b) por outro, que essa proteção seja articulada de modo que «[a] livre circulação desses dados» na União não seja proibida nem restringida (34).

52. Considero que, para atingir esses objetivos, o RGPD não exige que a indemnização seja associada à simples violação da norma que regula o tratamento, dotando a responsabilidade civil de funções punitivas.

53. Quanto ao primeiro objetivo, não é necessário, para efeitos da sua prossecução, alargar por via interpretativa o âmbito de aplicação do artigo 82.^o do RGPD, abrangendo os casos em que houve violação de uma norma, mas não um dano. Em contrapartida, essa extensão é suscetível de ter um efeito negativo no segundo.

54. Já salientei que o RGPD prevê diversos mecanismos de garantia do cumprimento das suas normas, que coexistem e que se complementam. Os Estados‑Membros não têm de escolher (e não podem, na realidade) entre os mecanismos do capítulo VIII para assegurar a proteção dos dados. Perante uma violação que não dê origem a um dano, é ainda oferecida ao titular dos dados (pelo menos) o direito de apresentar uma reclamação a uma autoridade de controlo, nos termos do artigo 77.^o, n.^o 1, do RGPD.

55. De resto, é provável que a perspetiva de obtenção de uma compensação sem a existência de qualquer dano incentivasse os litígios pela via civil, eventualmente com ações nem sempre justificadas (35), e, nessa medida, poderia desencorajar a atividade de tratamento de dados (36).

3. Presunção de dano?

56. Em algumas das observações das partes no litígio, é proposta uma leitura da primeira questão prejudicial diferente da que examinei até agora. Se bem compreendo a sua posição (37), parecem defender a existência de uma presunção incontestável de dano, uma vez ocorrida a violação da norma.

57. Acrescentam que essa violação implicaria necessariamente a perda de controlo sobre os dados, o que constituiria, em si mesmo, um dano indemnizável ao abrigo do artigo 82.^o, n.^o 1, do RGPD.

58. Em teoria, essa presunção não permite dispensar o dano, com o qual se respeita a estrutura típica da responsabilidade civil e a letra da disposição do RGPD. Todavia, na prática, para o recorrente e para o recorrido, os efeitos da sua aceitação seriam semelhantes aos que decorrem de associar a indemnização do artigo 82.^o, n.^o 1, do RGPD à simples violação da norma.

59. Recorrerei novamente aos critérios hermenêuticos habituais para explicar por que razão esta interpretação não me parece correta.

a) Interpretação literal

60. Quando, noutros domínios do direito da União, o legislador considerou que o direito a indemnização decorre automaticamente da violação de uma norma, não hesitou em prevê‑lo (38). Não é esse o caso do RGPD, no qual figuram regras relativas à prova, ou que têm consequências diretas sobre esta (39), mas não aquela conexão automática, direta ou por via de presunção inilidível.

61. As referências ao controlo dos dados (ou à perda desse controlo) constantes dos considerandos 75 (40) e 85 (41) do RGPD não me parecem contrariar essa ausência. Além do facto de que, enquanto considerandos, não têm valor normativo, nenhum deles indica que a violação de uma norma implique per se um dano indemnizável:

— O considerando 75 faz referência ao facto de o impedimento do controlo sobre os dados pessoais constituir um dos eventuais riscos do tratamento.

— O considerando 85 refere‑se à perda de controlo como uma das consequências que poderiam ocorrer na sequência de uma violação dos dados pessoais (42).

62. A perda de controlo da utilização dos dados não tem necessariamente de desencadear um dano. A expressão pode ser entendida como uma força de expressão para se referir a danos subsequentes a essa perda, caso se concretizem (43).

b) Interpretação à luz dos antecedentes

63. A análise dos antecedentes também não fundamenta a existência dessa presunção, que não figurava na Diretiva 95/46 (44), sendo que os documentos que analisei da Comissão, do Parlamento Europeu ou do Conselho anteriores à aprovação do RGPD não a incluíam.

c) Interpretação contextual

64. O sistema do RGPD fornece elementos para se rejeitar que aceita a presunção controvertida, tomando como ponto de referência o consentimento do titular dos danos (45). Enquanto vetor do seu controlo sobre os dados, esse consentimento legitima o seu tratamento ao mesmo nível que outros fundamentos jurídicos (artigo 6.^o do RGPD) (46).

65. Um tratamento lícito de dados pessoais é concebível independentemente da autorização do titular dos dados e, por conseguinte, do controlo que representa conceder ou recusar essa autorização. Em definitivo, o seu peso no sistema não é absoluto.

66. Além disso, o RGPD prevê outras possibilidades de exercício desse controlo: entre elas, o direito ao apagamento dos dados que obriga o responsável pelo tratamento a eliminar «sem demora injustificada» as informações correspondentes (47).

67. Para o titular dos dados que são tratados, este direito funciona como válvula de segurança do regime de proteção: mantém‑se (como regra de princípio) quando o responsável não obteve o consentimento do titular dos dados e quando não existe outro fundamento que legitime o tratamento de dados; e não depende do facto de deste resultarem danos (48).

d) Interpretação teleológica

1) O controlo do titular dos dados sobre os seus dados enquanto objetivo do RGPD?

68. A equivalência automática entre um tratamento de dados pessoais relativamente ao qual o consentimento do titular dos dados não foi obtido e um dano indemnizável pressupõe que esse controlo, do qual o consentimento é um vetor, constitui um valor em si mesmo.

69. Admito que, à primeira vista, esta opinião não seja desprovida de fundamento. O facto de os cidadãos poderem controlar a utilização que é feita dos seus dados consta na proposta da Comissão como um dos principais motivos da reforma (49). O considerando 7 do RGPD declara que «[a]s pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais».

70. O facto é que é necessária prudência no âmbito da interpretação deste conceito, para além dos debates doutrinais que suscitou. Não existe no RGPD (nem encontrei noutro lugar) uma definição precisa de «controlo» (50). O termo admite pelo menos duas aceções, que não se excluem mutuamente: como «poder» ou «domínio», e como «supervisão».

71. Da formulação do considerando 7 do RGPD resulta alguma insegurança, uma vez que difere consoante as versões linguísticas (51). Tendo em conta o seu conteúdo, considero que o RGPD confere ao titular dos dados poderes de vigilância e de intervenção em operações realizadas por outros sobre os dados, como um instrumento (conjuntamente com outros) ao serviço da proteção desses dados.

72. O próprio titular dos dados contribui e é responsável pela proteção das informações contidas nos dados, na medida — nível e modalidades — que o RGPD prevê. O âmbito da ação individual é limitado: limita‑se, no que respeita aos direitos que o RGPD enumera, a exercê‑los em condições precisas.

73. O consentimento do titular dos dados, enquanto expressão máxima de controlo (52), constitui apenas um dos fundamentos jurídicos para um tratamento lícito, mas não tem capacidade para validar o incumprimento das outras obrigações e condições que recaem sobre o responsável pelo tratamento e sobre o subcontratante.

74. Não me parece fácil deduzir do RGPD que visa conferir ao titular dos dados o controlo sobre os dados pessoais como um valor em si mesmo. Também não me parece que o titular dos dados tenha de ter o maior controlo possível sobre esses dados.

75. Esta conclusão não surpreende. Por um lado, não é evidente que o controlo, na sua aceção de domínio sobre os dados, faça parte do conteúdo essencial do direito fundamental à proteção dos dados pessoais (53). Por outro lado, o entendimento deste direito como direito à autodeterminação informativa está longe de ser unânime: o artigo 8.^o da Carta não utiliza esses termos (54).

76. No mesmo sentido, também não foi incluído no texto final do RGPD um considerando que enunciava que «[o] direito à proteção de dados pessoais assenta no direito que incumbe ao titular dos dados de exercer o controlo dos dados pessoais que estão a ser objeto de tratamento» (55).

77. As reflexões que precedem, talvez demasiado abstratas, levam‑me a afirmar que, quando o titular dos dados não dá o seu consentimento a um tratamento e este é efetuado sem outro fundamento jurídico legítimo, não tem de ser compensado financeiramente pela perda do controlo sobre a utilização dos seus dados, como se essa perda implicasse, enquanto tal, um dano indemnizável (56). O facto de, além disso, ter ou não sofrido um dano, permanece em dúvida (e deverá ser provado) (57).

2) O controlo do titular dos dados no contexto

78. Por último, parece‑me oportuno recordar que a proteção dos dados pessoais é enunciada como objetivo do RGPD conjuntamente com a finalidade de incentivar a livre circulação de dados (58).

79. O reforço do controlo do cidadão sobre as suas informações pessoais no ambiente digital constitui uma das finalidades reconhecidas da modernização do regime de proteção de dados pessoais, mas não um objetivo independente ou isolado.

80. A Comissão, na comunicação que acompanhou a sua proposta de RGPD, associava um elevado nível de proteção dos dados à confiança nos serviços em linha, que permite concretizar todo o potencial da economia digital e incentivar «o crescimento económico e a competitividade das empresas da UE». Com a renovação (e a harmonização acrescida) da regulamentação da União «consolida[‑se] a dimensão “mercado único” da proteção de dados» (59).

81. Perante a evidência do valor dos dados (pessoais e não pessoais) para o progresso económico e social na Europa, o RGPD não visa ampliar o controlo do indivíduo sobre as informações que lhe dizem respeito, submetendo‑se muito simplesmente às suas preferências, mas sim conciliar o direito à proteção dos dados pessoais de cada um com os interesses de terceiros e da sociedade (60).

82. O RGPD, insisto, não se destina a limitar sistematicamente o tratamento de dados pessoais, mas sim a legitimá‑lo em condições estritas. Este objetivo é servido, sobretudo, pelo incentivo da confiança do titular dos dados no facto de o tratamento ser feito num contexto seguro (61), para o qual ele próprio contribui. Desta forma, encoraja‑se a sua vontade para permitir o acesso e a utilização dos seus dados, entre outros domínios, no das transações comerciais em linha.

C. Segunda questão prejudicial

83. O órgão jurisdicional de reenvio pretende saber se, «[p]ara efeitos da avaliação da indemnização, existem outros requisitos do direito da União além dos princípios da efetividade e da equivalência».

84. Na realidade, não se afigura que o princípio da equivalência desempenhe aqui um papel relevante: o regime harmonizado do RGPD é diretamente aplicável nesta matéria e o seu artigo 82.^o regula todos os danos imateriais resultantes de uma violação, independentemente da sua origem.

85. Para o princípio da efetividade, é válida a mesma reflexão. Questão diferente consiste em saber se a indemnização, ao conformar‑se com o enunciado no considerando 146 do RGPD (os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido), deve ter um conteúdo ou outro.

86. O artigo 82.^o do RGPD não impõe nenhum outro requisito para além da violação das suas normas quando tenha como consequência os danos, materiais ou imateriais, sofridos por qualquer pessoa. No que respeita ao cálculo efetivo do montante da indemnização relativa a esses danos, não estabelece diretrizes para os órgãos jurisdicionais nacionais.

87. Tendo em conta os dois termos qualificativos já transcritos (integral e efetivamente), a indemnização dependerá, em primeiro lugar, do pedido formulado por cada recorrente.

88. Se esse pedido consistir na condenação no pagamento de uma indemnização de natureza punitiva (62), a resposta à primeira questão prejudicial seria suficiente: esse tipo de indemnizações não se encontra previsto no RGPD. No seu seio, a responsabilidade civil exerce uma função de compensação «privada», ao passo que as coimas e as sanções penais têm a função pública de dissuadir e, sendo caso disso, de punir.

89. Não se exclui que a reparação solicitada a título de dano imaterial incorpore outros componentes que não o meramente pecuniário, como, por exemplo, o reconhecimento da ocorrência da violação, conferindo ao recorrente uma certa satisfação moral. O Acórdão do Tribunal de Justiça de 15 de abril de 2021 (63), embora diga respeito a um domínio diferente do da proteção de dados, permitiria, por analogia, responder a esse pedido.

90. Nas ordens jurídicas que assim disponham, é possível que o regime de responsabilidade civil preveja condenações a título de reconhecimento de um direito (pagamento de uma indemnização simbólica) ou de neutralização de um lucro indevido (pagamento do lucro injustamente obtido).

91. Subjacente às primeiras está a ideia de dar continuidade e de concretizar o direito («Rechtsfortsetzungsfunktion») através de uma indemnização puramente simbólica, acrescentada à declaração de que o recorrido praticou um ato ilícito e violou direitos do recorrente. O artigo 82.^o do RGPD não a prevê nem há indícios da mesma nos trabalhos preparatórios, facto que não deve surpreender uma vez que não é comum aos sistemas jurídicos dos Estados‑Membros (64), nem está isenta de críticas naqueles em que existe (65).

92. Todavia, o sistema do RGPD e os seus objetivos não se opõem a que os Estados‑Membros que conhecem essa solução a disponibilizem às pessoas afetadas pela violação de uma norma, no âmbito dos recursos previstos no seu artigo 79.^o, em caso de inexistência total de danos. Em contrapartida, quando o recorrente alega ter sofrido um dano pecuniário, a situação é regulada pelo artigo 82.^o do RGPD e a dificuldade em prová‑lo não se deve traduzir numa indemnização simbólica (66).

93. Quanto às condenações que consistem no pagamento do montante na sequência da violação de um direito, podem ter por objeto privar o seu autor do lucro obtido. Fora do domínio da propriedade intelectual (67), esta finalidade não é comum no direito da responsabilidade civil, que se interessa sobretudo à perda da parte lesada e não ao ganho do autor da violação (68). O RGPD não a incluiu no seu articulado.

94. Estas reflexões destinam‑se a facilitar a tarefa do órgão jurisdicional de reenvio, tendo em conta a abrangência da sua segunda questão prejudicial. Todavia, não ignoro que a sua utilidade pode ser limitada para julgar procedente ou improcedente uma ação no âmbito da qual o titular dos dados pede uma indemnização estritamente pecuniária pelos danos imateriais.

D. Terceira questão prejudicial

95. O órgão jurisdicional de reenvio pretende saber se, no RGPD, a concessão de uma indemnização por danos morais pressupõe a «violação do direito que tenha alguma gravidade e que vá além do descontentamento causado pela violação do direito».

96. Como critério para determinar o que é indemnizável, o pedido de decisão prejudicial toma em consideração a intensidade da experiência da pessoa afetada. Em contrapartida, não pergunta (pelo menos diretamente) se uma determinada emoção ou sensação dessa pessoa é ou não relevante para efeitos do artigo 82.^o, n.^o 1, do RGPD devido ao seu conteúdo (69).

97. Coloca‑se, assim, a questão de saber se os Estados‑Membros podem subordinar a indemnização do dano imaterial à importância das consequências decorrentes da violação da norma, incluindo apenas as que ultrapassem um determinado limiar de gravidade. Por conseguinte, a questão não diria respeito às categorias indemnizáveis (70) nem ao montante da indemnização, mas sim à existência de um limite mínimo da reação da pessoa afetada, abaixo do qual não seria compensado.

98. O artigo 82.^o RGPD não dá uma resposta direta à questão. Na minha opinião, também não o fazem os considerandos 75 e 85. Ambos contêm uma enumeração exemplificativa de danos para se chegar a uma cláusula aberta que parece restringir os danos indemnizáveis aos «importantes».

99. Todavia, não creio que esses considerandos sejam úteis para responder à questão do órgão jurisdicional de reenvio:

— O primeiro diz respeito à identificação e à avaliação dos riscos associados ao tratamento dos dados, e à adoção de medidas destinadas a evitar ou a atenuar esses riscos. Respeita às consequências indesejáveis de qualquer tratamento e destaca algumas «em especial», provavelmente devido ao seu caráter mais grave.

— O segundo refere‑se às violações de dados, alertando para o facto de as suas consequências poderem ser significativas.

100. Da declaração constante do considerando 146 do RGPD (os responsáveis deverão reparar «quaisquer danos») (71) também não se deduzem critérios que permitam responder a essa questão.

101. A transposição deste considerando para o texto do RGPD determinou que este último incluísse, explicitamente, os danos imateriais, substituindo‑se ao silêncio, quanto a este aspeto, da Diretiva 95/46 (72). Em contrapartida, a questão hoje suscitada no Tribunal de Justiça não, em especial, foi abordada.

102. Nesse mesmo considerando 146 do RGPD declara‑se que «[o] conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento».

103. Não estou certo de que essa indicação tenha tido uma grande utilidade no contexto da proteção de dados, uma vez que o Tribunal de Justiça ainda não se tinha pronunciado sobre a matéria quando o RGPD foi adotado (73). Se se quisesse fazer referência a acórdãos relativos à responsabilidade civil regulada noutras diretivas ou regulamentos, teria sido bem‑vinda uma referência à analogia.

104. Na realidade, o Tribunal de Justiça não elaborou uma definição geral de «danos» aplicável indistintamente em qualquer domínio (74). Para o que aqui interessa (os danos imateriais), pode deduzir‑se da sua jurisprudência que:

— Quando o objetivo (ou um dos objetivos) da disposição interpretada consiste na proteção do indivíduo ou de uma determinada categoria de indivíduos (75), o conceito de danos deve ser amplo.

— Em coerência com esse critério, a indemnização estende‑se aos danos imateriais, mesmo que não sejam referidos na disposição interpretada (76).

105. Embora a jurisprudência do Tribunal de Justiça autorize a considerar que, nos termos expostos, existe no direito da União um princípio de indemnização dos danos imateriais, não penso que, em contrapartida, daí se possa inferir uma regra por força da qual qualquer dano imaterial seja indemnizável, independentemente da sua gravidade.

106. O Tribunal de Justiça admitiu a compatibilidade com as normas europeias da legislação nacional que, para o cálculo da compensação, distingue entre danos imateriais relacionados com lesões corporais por acidente, consoante a origem deste (77).

107. Avaliou igualmente quais as circunstâncias suscetíveis de provocar danos imateriais, em conformidade com a disposição aplicável em cada processo (78), mas não se pronunciou expressamente (se não me engano) sobre o requisito relativo à gravidade desses danos (79).

108. Aqui chegados, penso que a terceira questão prejudicial deve ser respondida afirmativamente.

109. Para fundamentar a minha posição, recordo que o RGPD não tem por objetivo único a salvaguarda do direito fundamental à proteção dos dados pessoais (80) e que o seu sistema de garantias integra mecanismos de tipologia diversa (81).

110. Neste contexto, é relevante a distinção, proposta ao Tribunal de Justiça, entre danos imateriais indemnizáveis e outros inconvenientes resultantes do desrespeito da legalidade que, dada a sua fraca importância, não dão necessariamente direito a compensação.

111. Essa dissociação é compreendida nas ordens jurídicas nacionais, como corolário inevitável da vida em sociedade (82). O Tribunal de Justiça não é alheio a esta distinção, que admite quando faz referência aos transtornos e inconvenientes como categoria autónoma relativamente à dos danos, em domínios em que considera que devem ser indemnizados (83). Nada impede a sua transposição para o RGPD.

112. De resto, o direito a indemnização previsto no artigo 82.^o, n.^o 1, do RGPD não me parece ser o instrumento adequado para contrariar violações no tratamento de dados pessoais, se o que causam no interessado é apenas indignação ou descontentamento.

113. Regra geral, qualquer violação de uma norma relativa à proteção de dados pessoais dará origem a uma reação negativa do titular dos dados. Uma indemnização decorrente do simples sentimento de desconforto face à falta de respeito de outrem pela lei confunde‑se facilmente com uma compensação sem dano, que já rejeitei anteriormente.

114. Do ponto de vista prático, incluir entre os danos imateriais indemnizáveis os meros descontentamentos não é eficaz, tendo em conta os inconvenientes e as dificuldades característicos de uma reclamação judicial para o recorrente (84), e da defesa para o recorrido (85).

115. Recusar o direito a indemnização pelos sentimentos ou emoções fracos e temporários (86) relacionados com a violação de regras relativas ao tratamento não deixa o titular dos dados totalmente desamparado. Como indiquei no âmbito da primeira questão, o sistema do RGPD disponibiliza‑lhe outros recursos.

116. Não tenho dúvidas de que a fronteira entre os simples descontentamentos (não indemnizáveis) e os verdadeiros danos imateriais (indemnizáveis) é ténue, nem ignoro a complexidade associada à delimitação, em abstrato, das duas categorias e à sua concreta aplicação a um litígio. Essa difícil tarefa cabe aos juízes dos Estados‑Membros que, provavelmente, não poderão abstrair‑se, nas suas decisões, da perceção que, em cada momento, a sociedade tenha sobre a tolerância admissível quando as consequências subjetivas da violação de uma norma nesta matéria não ultrapassem um nível de minimis (87).

V. Conclusão

117. Atendendo ao exposto, proponho que se responda ao Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria) nos seguintes termos:

«O artigo 82.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

para permitir a concessão de uma indemnização por danos sofridos por uma pessoa como consequência de uma violação do regulamento referido não é suficiente a simples violação da norma, por si só, se não for acompanhada dos danos materiais ou imateriais correspondentes.

A indemnização dos danos imateriais que regula não abrange o simples descontentamento que a pessoa afetada possa sentir em resultado da violação das disposições do Regulamento 2016/679. Compete aos órgãos jurisdicionais nacionais determinar, em função das suas características, quando é que a sensação subjetiva de desconforto pode, em cada caso, ser considerada um dano imaterial.»

1 Língua original: espanhol.

2 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1). A seguir «RGPD».

3 Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

4 Nos termos do relatório da Agência da União Europeia para os Direitos Fundamentais (FRA), Access to data protection remedies in the EU Member States, Serviço das Publicações da União Europeia, 2013, pontos 3 e 4.

5 Em grande medida, o reconhecimento legislativo deste direito é uma especificidade do sistema de proteção da União. A análise da validade de instrumentos legais relativos à transmissão de dados pessoais para países terceiros tem particularmente em consideração a existência ou não de uma previsão com a mesma finalidade. V. n.^os 226 e 227 do Parecer 1/15 [Acordo PNR UE ‑ Canadá, de 26 de julho de 2017 (EU:C:2017:592)]; e Acórdãos de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559) e de 21 de junho de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6 No momento da redação das presentes conclusões, há outros sete pedidos de decisão prejudicial relativos a esta matéria (processos C‑340/21; C‑667/21; C‑687/21; C‑741/21; C‑182/22; C‑189/22 e C‑456/22). Paralelamente, foi pedido à Comissão das Petições do Parlamento Europeu que «clarifique os considerandos do RGPD, em especial no que diz respeito aos danos não materiais, a fim de evitar novas decisões incorretas por parte dos tribunais alemães» (petição n.^o 0386/2021).

7 Em contrapartida, deferiu um pedido de ação inibitória, que foi confirmado em sede de recurso. Foi negado provimento ao recurso de Revision da Österreichische Post da ação inibitória.

8 Utilizo este termo na aceção do artigo 4.^o, ponto 1, do RGPD.

9 Por vezes, o titular dos dados nem sequer terá de demonstrar que não deu consentimento, uma vez que, nos termos do artigo 7.^o, n.^o 1, do RGPD, «[q]uando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais». Em contrapartida, é necessário exigir ao recorrente a apresentação de elementos que permitam quantificar o dano.

10 O termo «indemnização» é utilizado nas versões espanhola [«indemnización»] e portuguesa. Muito expressivo é também «Schadenersatz», na versão alemã. Na francesa, não se utiliza «indemnisation», mas sim «réparation»; na inglesa, «compensation». Parece‑me que, em qualquer uma destas versões e noutras análogas, o resultado é idêntico: o dano continua a ser um elemento indispensável da responsabilidade civil.

11 Considerando 146 do RGPD. A indemnização visa restabelecer o equilíbrio da situação jurídica alterada negativamente (prejudicada) pela violação do direito.

12 As indemnizações de natureza punitiva (punitive damages) são características do direito anglo‑saxão. Outros ordenamentos utilizam‑nas como reação a comportamentos particularmente dolosos ou gravemente negligentes. Por vezes, associam‑se à avaliação do dano não patrimonial resultante da ofensa à integridade física ou à esfera da intimidade [da vida privada] individual.

13 Acórdão de 13 de julho de 2006, Manfredi e o. (C‑295/04 a C‑298/04, EU:C:2006:461, n.^o 92): «Quanto à atribuição de indemnização por perdas e danos e uma eventual possibilidade de conceder indemnizações, a título de sanção, na falta de disposições comunitárias neste domínio, cabe ao ordenamento jurídico de cada Estado‑Membro fixar os critérios que permitem determinar a amplitude da reparação, desde que sejam respeitados os princípios da equivalência e da efetividade». O sublinhado é meu.

14 Acórdão de 11 de outubro de 2007, Paquay (C‑460/06, EU:C:2007:601, n.^os 44 e segs.), respeitante ao artigo 6.^o da Diretiva 76/207/CEE do Conselho, de 9 de fevereiro de 1976, relativa à concretização do princípio da igualdade de tratamento entre homens e mulheres no que se refere ao acesso ao emprego, à formação e promoção profissionais e às condições de trabalho (JO 1976, L 39, p. 40; EE05 F02 p. 70).

15 Artigo 28.^o da Diretiva 2004/109/CE do Parlamento Europeu e do Conselho, de 15 de dezembro de 2004, relativa à harmonização dos requisitos de transparência no que se refere às informações respeitantes aos emitentes cujos valores mobiliários estão admitidos à negociação num mercado regulamentado e que altera a Diretiva 2001/34/CE (JO 2004, L 390, p. 38); o artigo 25.^o da Diretiva 2006/54/CE do Parlamento Europeu e do Conselho, de 5 de julho de 2006, relativa à aplicação do princípio da igualdade de oportunidades e igualdade de tratamento entre homens e mulheres em domínios ligados ao emprego e à atividade profissional (JO 2006, L 204, p. 23).

16 Por exemplo, o considerando 35 da Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao respeito dos direitos de propriedade intelectual (JO 2004, L 157, p. 45). Nesse caso, a adoção da sanção não é proibida, mas não é obrigatória: Acórdão de 25 de janeiro de 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, n.^o 28).

17 Artigo 3.^o, n.^o 3, da Diretiva 2014/104/UE do Parlamento Europeu e do Conselho, de 26 de novembro de 2014, relativa a certas regras que regem as ações de indemnização no âmbito do direito nacional por infração às disposições do direito da concorrência dos Estados‑Membros e da União Europeia (JO 2014, L 349, p. 1); ou considerandos 10 e 42 da Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO 2020, L 409, p. 1), que abrange o âmbito da proteção de dados.

18 É geralmente referido como exemplo o artigo 18.^o, n.^o 2, do Regulamento (CE) n.^o 1768/95 da Comissão, de 24 de julho de 1995, as regras de aplicação relativas à exceção agrícola prevista no n.^o 3 do artigo 14.^o do Regulamento (CE) n.^o 2100/94 do Conselho relativo ao regime comunitário de proteção das variedades vegetais (JO 1995, L 173, p. 14): «a reparação de quaisquer danos suplementares causados a [ao titular] […] deve cobrir, pelo menos, uma quantia fixa calculada com base no quádruplo do montante médio cobrado […]».

19 Infra, n.^o 47.

20 Utilizo aqui as expressões «aplicação pública» e «aplicação privada» no mesmo sentido que a Diretiva 2014/104.

21 O considerando 55 anunciava o conteúdo do capítulo III («Recursos judiciais, responsabilidade e sanções») da Diretiva 95/46. Os seus artigos 22.^o, 23.^o e 24.^o correspondiam respetivamente a cada termo. O capítulo VI dizia respeito às autoridades de controlo.

22 O Tribunal de Justiça confirmou o papel centras destas autoridades no sistema: por exemplo, no seu Acórdão de 9 de março de 2010, Comissão/Alemanha (C‑518/07, EU:C:2010:125, n.^o 23). O artigo 8.^o, n.^o 3, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») e o artigo 16.^o, n.^o 2 in fine, TFUE, fazem referência a estas autoridades.

23 A Estónia e a Dinamarca têm um regime especial, a que faz referência o considerando 151 do RGPD.

24 Não obstante a inexistência, no RGPD, de uma referência direta à pertinência da aplicação privada das normas, semelhante à do considerando 3 da Diretiva 2014/104.

25 A possibilidade de ações coletivas já era admitida antes do RGPD: Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629). Nos termos do artigo 80.^o, n.^o 1, do RGPD, a atuação das entidades de defesa dos titulares dos dados não está disponível, em matéria de indemnizações, a menos que os Estados‑Membros o prevejam e que o titular dos dados confira o mandato exigido. A situação pode mudar na sequência da Diretiva 2020/1828.

26 Como afirma o advogado‑geral Jean Richard de la Tour nas suas Conclusões do processo Meta Platforms Ireland (C‑319/20, EU:C:2021:979), a ação do artigo 80.^o do RGPD é adequada para a proteção de interesses particulares e gerais. Nesse processo, estava em causa a ação inibitória.

27 Nomeadamente em Estados‑Membros hesitantes em admitir condenações relativas a danos imateriais, sem previsão legal a esse respeito.

28 Como a legitimidade passiva, as causas de exoneração e o regime de responsabilidade dos responsáveis conjuntos pelo tratamento e dos subcontratantes. Num documento do Conselho figura a seguinte questão da delegação belga: «whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage». A resposta da Comissão foi no sentido de que a prova do dano era necessária: v. pela primeira vez na Nota da Presidência n.^o 17831/13, de 16 de dezembro de 2013, nota 541. Não consta que esta questão tenha sido objeto de um debate mais amplo.

29 Remeto para os trabalhos preparatórios para a adoção das Diretivas 2004/48 e 2014/104. Uma interpretação que estendesse o artigo 82.^o do RGPD a indemnizações de natureza punitiva teria consequências importantes para os Estados‑Membros: teriam, por exemplo, de estabelecer quem deve ser o beneficiário da compensação que exerce a função de sanção, como calcular esta para que satisfaça o objetivo ou como deve ser articulada com as coimas e com as sanções penais, a fim de evitar que a punição seja excessiva.

30 Essas «outras sanções», de natureza penal ou administrativa, não estão harmonizadas. Como as coimas, devem ser «efetivas, proporcionadas e dissuasivas» (artigo 84.^o, n.^o 1, in fine).

31 Não excluo que, em abstrato, alguns pudessem também sê‑lo no âmbito da responsabilidade civil [penso, por exemplo, no «caráter intencional ou negligente» do infrator, nos termos do artigo 83.^o, n.^o 2, alínea b), do RGPD] ou refletir‑se na indemnização [por exemplo, as «categorias específicas de dados pessoais afetadas pela infração», nos termos da alínea g) da mesma disposição]. Ora, mesmo nestes casos, a transposição de cada fator de um domínio para o outro não funcionaria de modo automático.

32 Artigo 83.^o, n.^o 2, alínea a), do RGPD.

33 Nem como parâmetro de cálculo, nem para o descontar do montante.

34 Artigo 1.^o do RGPD e considerandos 6, 9 e 170. No considerando 9 recorda‑se que estes eram os objetivos da Diretiva 95/46 e afirma‑se que continuam a ser válidos. É frequente sublinhar que na Diretiva 95/46 o objetivo da livre circulação dos dados pessoais prevaleceu sobre o da proteção, enquanto no RGPD ocorre o contrário, o que seria explicado pelo reconhecimento formal do direito no artigo 8.^o da Carta, que devia transcender a nova regulamentação. Todavia, o artigo 1.^o do RGPD é claro quanto à vontade de conciliar a proteção dos dados pessoais com a sua livre circulação. Isso significa, evidentemente, procurar que o nível de proteção seja equivalente em todos os Estados‑Membros, evitando os obstáculos resultantes da fragmentação normativa, mas também afastar a relutância dos particulares em compartilhar ou em fornecer dados pessoais, para efeitos do seu tratamento, através do estímulo da confiança no facto de que se encontram protegidos.

35 Nas suas observações, n.^o 53, o Governo irlandês afirma: «([…]) very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non‑material damage» (O sublinhado é meu). Na Alemanha, a doutrina alerta para o risco de abuso das ações e para a necessidade de evitar o surgimento de uma «datenschutzrechtliche Klageindustrie»: Wybitul, T., Neu, L., Strauch, M., «Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen», Zeitschrift für Datenschutz, 2018, pp. 202 e segs., em particular p. 206; Paal, B.P., Kritzer, I., «Geltendmachung von DS‑GVO‑Ansprüchen als Geschäftsmodell», Neue Juristische Wochenschrift, 2022, pp. 2433 e segs.

36 Não é de afastar um efeito «de atração» ou multiplicador, decorrente do êxito da ação de responsabilidade civil sem dano. Com ele, aumentaria a probabilidade de os operadores económicos fazerem face a ações coletivas, ou a uma pluralidade de ações individuais (sendo o caso, mais ou menos abusivos), além da eventual sanção administrativa ou penal.

37 As observações das partes limitam‑se a sugeri‑la, não a desenvolvendo. Por exemplo, não se especifica se seria uma presunção de caráter absoluto ou ilidível. A primeira possibilidade é a mais coerente com a questão do órgão jurisdicional de reenvio, pelo que me limitarei a ela.

38 V. artigo 7.^o do Regulamento (CE) n.^o 261/2004 do Parlamento Europeu e do Conselho, de 11 de fevereiro de 2004, que estabelece regras comuns para a indemnização e a assistência aos passageiros dos transportes aéreos em caso de recusa de embarque e de cancelamento ou atraso considerável dos voos e que revoga o Regulamento (CEE) n.^o 295/91 (JO 2004, L 46, p. 1); ou o artigo 19.^o do Regulamento (UE) n.^o 1177/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, relativo aos direitos dos passageiros do transporte marítimo e por vias navegáveis interiores e que altera o Regulamento (CE) n.^o 2006/2004 (JO 2010, L 334, p. 1).

39 Desde logo nos n.^os 3 e 4 do próprio artigo 82.^o do RGPD.

40 «[Q]uando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais.»

41 «[A] violação de dados pessoais pode causar […] perda de controlo [das pessoas singulares] sobre os seus dados […]»

42 As consequências que esse considerando enumera não são automáticas. Em conformidade com o artigo 34.^o do RGPD, o responsável pelo tratamento deve ponderar em cada caso se é necessário comunicar a violação ao titular dos dados.

43 As consequências emocionais associadas à perda de controlo sobre os dados, como o medo ou a ansiedade relativos ao que lhes pode acontecer, decorrem da perda, mas não são idênticas à mesma.

44 Alguns Estados‑Membros tinham previsto uma presunção de danos em setores próximos do da proteção de dados. Assim, em Espanha, o artigo 9.^o, n.^o 3, da Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen [Lei Orgânica 1/1982, de 5 de maio, relativa à proteção civil do direito à honra, à vida privada e familiar e à própria imagem] (BOE n.^o 115, de 14 de maio de 1982, pp. 12546 a 12548), dispunha que «[se] presume[…] a existência de um prejuízo quando estiver demonstrada a ingerência ilícita [nos direitos garantidos por esta lei]».

45 Recordo que, neste litígio, a ilicitude da conduta está ligada, precisamente, à falta de consentimento do titular dos dados. Os argumentos relativos ao lugar do direito a indemnização entre as garantias do cumprimento das normas do RGPD são também válidos aqui.

46 Todavia, trata‑se apenas de um fundamento para um tratamento lícito; e todos os que o RGPD enumera são igualmente válidos. V. Parecer 06/2014 do Grupo de trabalho do artigo 29.^o para a proteção dos dados, sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.^o da Diretiva 95/46/CE, adotado em 9 de abril de 2014, p. 10. Ora, o responsável pelo tratamento não pode alterar o fundamento do tratamento depois de o ter iniciado: Comité Europeu para a Proteção de Dados, Diretrizes 5/2020 relativas ao consentimento na aceção do Regulamento 2016/679, n.^os 121 a 123.

47 Artigo 17.^o, n.^o 1, do RGPD. O que não significa que não exista direito a indemnização dos danos que o tratamento efetuado tenha podido causar até ao seu apagamento.

48 Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, ponto 4 do dispositivo).

49 Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) [COM(2012) 011 final], p. 2, e considerando 6 do texto proposto. V. também ponto 2 da Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Proteção da privacidade num mundo interligado. Um quadro europeu de proteção de dados para o século XXI» [COM(2012) 9 final].

50 Na minha opinião, este silêncio não é fortuito. Para além das discussões conceituais sobre a titularidade dos dados pessoais, a questão consiste em saber se admitir que o controlo dos seus dados equivale a conferir às pessoas singulares poderes de propriedade sobre as informações que lhes dizem respeito (o que provavelmente não seria compatível com os interesses de terceiros e da sociedade no seu conjunto). A recomendação de que seja reconhecido o direito à propriedade dos dados pessoais consta do Parecer do Comité Económico e Social Europeu sobre a «Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à governação de dados (Regulamento Governação de Dados), COM(2020) 767 final (JO 2021, C 286, p. 38), no ponto 4.18: «[…] o CESE recomenda que se reconheça o direito à propriedade dos dados digitais na UE, a fim de permitir que os cidadãos (trabalhadores, consumidores, empresários) controlem, giram ou proíbam a utilização dos seus dados» (O sublinhado é meu). Em contrapartida, nega que os dados sejam um produto de base, v. nota 53, in fine.

51 A espanhola enuncia que «las personas físicas deben tener el control de sus propios datos personales» (O sublinhado é meu); a inglesa indica que «natural persons should have control of their own personal data» (e não the control). Noutras, como a portuguesa afirma‑se que «as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais». Ao abrigo do artigo 4.^o do RGPD, o controlo dos dados pessoais incide sobre as informações que representam. O controlo da utilização dos dados incidiria sobretudo sobre o seu tratamento.

52 Na prática, o consentimento limita‑se à aceitação ou à rejeição da proposta de quem pretende tratar os dados.

53 Não excluo que a evolução do regime jurídico vá no sentido de reconhecer direitos de propriedade ao titular dos dados. Ora, duvido que isso implique a maximização do controlo individual: uma posição de poder de propriedade do titular dos dados sobre os dados pessoais pode não se enquadrar adequadamente com o desenvolvimento da economia e da inovação; a sua compatibilidade com a dimensão do direito fundamental seria discutível. V. considerando 24 da Diretiva (UE) 2019/770 do Parlamento Europeu e do Conselho, de 20 de maio de 2019, sobre certos aspetos relativos aos contratos de fornecimento de conteúdos e serviços digitais (JO 2019, L 136, p. 1): «Embora reconhecendo plenamente que a proteção dos dados pessoais é um direito fundamental e que, por conseguinte, os dados pessoais não podem ser considerados um produto de base […]». O sublinhado é meu.

54 Não foram aprovadas formulações como a proposta relativa ao artigo 19.^o que figurava na Nota do Presidium — Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 VER 1, de 11 de maio de 2000: «Toute personne a le droit de décider elle‑même de la divulgation et de l'utilisation de ses données personnelles». No que diz respeito à mesma disposição, também não foi aprovada a formulação que consta da Nota do Presidium — Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00, de 4 de junho de 2000: «Toute personne a le droit de décider elle‑même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant». A nível nacional, a ideia de autodeterminação informativa impôs‑se nalguns Estados‑Membros, como na Alemanha, na sequência da Decisão do Bundesverfassungsgericht (Tribunal Constitucional Federal) de 15 de dezembro de 1983, 1 BvR 209/83. Em Espanha v., por exemplo, Acórdão do Tribunal Constitucional n.^o 292/2000, de 30 de novembro de 2000 (BOE de 4 de janeiro de 2001). Não estou certo de que seja esse o caso na União, ainda que as Conclusões do advogado‑geral M. Szpunar no processo Orange Romania (C‑61/19, EU:C:2020:158, n.^o 37) apontem nesse sentido: «O princípio orientador que está na base do direito da União relativo à proteção de dados é o de uma decisão autodeterminada de uma pessoa com capacidade para fazer escolhas sobre a utilização e o tratamento dos seus dados», precisamente com referência à doutrina alemã.

55 Projeto de Relatório sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados) [COM(2012) 0011 — C7‑0025/2012 — 2012/0011(COD)], PE501.927v04‑00, de 16 de janeiro de 2013, alteração 29.

56 Não estou a sugerir que a violação da norma não deva ser punida: o que afirmo é que, na falta de dano, uma indemnização não constitui um instrumento adequado.

57 Afastando‑se a possibilidade de que conferir ao titular dos dados o controlo sobre os seus dados constitua, por si só, uma finalidade do RGPD, não rejeito que se tenha em conta a perda de controlo como guia para o reconhecimento dos danos imateriais, no sentido da tomada em consideração das reações subsequentes a essa perda.

58 V. n.^o 51 das presentes conclusões. A livre circulação de dados constitui o objetivo único na relação com os dados não pessoais: artigo 1.^o do Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia (JO 2018, L 303, p. 59).

59 Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Proteção da privacidade num mundo interligado. Um quadro europeu de proteção de dados para o século XXI» [COM(2012) 9 final], ponto 1. Mais à frente, na p. 5: «as preocupações com a privacidade são uma das razões mais frequentes para as pessoas não comprarem bens e serviços em linha».

60 Considerando 2 do RGPD: «[…] contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem‑estar das pessoas singulares». No considerando 4: «[…] O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade […]». No mesmo sentido, Acórdão de 24 de setembro de 2019, Google (Âmbito territorial do direito à supressão de referências) (C‑507/17, EU:C:2019:772, n.^o 60), com outras referências.

61 Este objetivo é comum ao quadro regulamentar que visa reforçar o mercado único dos dados. Neste sentido, a Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Uma estratégia europeia para os dados», COM(2020) 66 final, n.^o 1, explica: «Numa sociedade em que a quantidade de dados gerados por pessoas singulares será cada vez maior, o seu modo de recolha e de utilização deve dar primazia aos interesses das pessoas, em consonância com os valores, as regras e os direitos fundamentais europeus. Os cidadãos só irão confiar e aderir a inovações baseadas em dados se estiverem seguros de que qualquer partilha de dados pessoais na UE estará sujeita à plena observância das regras rigorosas da UE em matéria de proteção de dados».

62 O órgão jurisdicional de reenvio parece preocupado (despacho de reenvio, n.^o 5 da fundamentação das questões prejudiciais) com a possibilidade de a indemnização adquirir natureza punitiva, uma vez que o RGPD já prevê coimas elevadas, pelo que a sua eficácia não exigiria adicionalmente indemnizações elevadas por danos não patrimoniais.

63 Processo C‑30/19, Braathens Regional Aviation (EU:C:2021:269; n.^o 49): «o pagamento de um montante pecuniário não é suficiente para ir ao encontro das pretensões de uma pessoa que pretende essencialmente que seja reconhecido, a título de reparação do dano moral sofrido, que foi vítima de uma discriminação, pelo que não se pode considerar, para estes efeitos, que esse pagamento tem uma função reparadora satisfatória». Esse processo dizia respeito à Diretiva 2000/43/CE do Conselho, de 29 de junho de 2000, que aplica o princípio da igualdade de tratamento entre as pessoas, sem distinção de origem racial ou étnica (JO 2000, L 180, p. 22).

64 V. Magnus, U., «Comparative Report on the Law of Damages», em Unification of Tort Law: Damages, Kluwer Law International, 2001, p. 187, parágrafos 14 e 15.

65 Tipicamente, nos sistemas de common law, nomeadamente nos Estados Unidos, onde o pedido de compensação simbólica surge como último recurso para a defesa de direitos constitucionais. Para um resumo dos debates sobre a sua utilidade naquele país, v. Grealish, M‑B., «A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion», em Fordham L. Rev., vol. 87, p. 733; e, recentemente, a Decisão do Supremo Tribunal dos EUA, de 8 de março de 2021, em Uzuegbunam v Preczewski. Os nominal damages também não são admitidos pacificamente no Reino Unido: admite‑se que, na prática, o interesse de uma condenação no pagamento de uma indemnização simbólica por danos depende do facto de o beneficiário ser considerado vencedor para efeitos da imputação das despesas judiciais, o que não é automático desde a Decisão Anglo‑Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873.

66 O Tribunal de Justiça, no âmbito do (então) artigo 215.^o do Tratado CEE, exigiu a prova do dano mesmo quando, devido à dificuldade em demonstrá‑lo, a demandante pedia uma indemnização simbólica: Acórdão de 21 de maio de 1976, Roquette Frères/Comissão (26/74, EU:C:1976:69, n.^os 23 e 24).

67 No contexto da propriedade intelectual, a indemnização, enquanto reação à violação da norma, serve para alcançar o objetivo próprio, essencial na matéria, de proteger a integridade económica do direito. O artigo 13.^o, n.^o 1, alínea a), da Diretiva 2004/48 refere‑se aos «lucros indevidos obtidos pelo infrator» como um dos fatores que as autoridades judiciais devem ter em conta para estabelecer o montante das indemnizações por perdas e danos.

68 Uma previsão análoga encontra‑se no artigo 94.^o, n.^o 2, do Regulamento (CE) n.^o 2100/94 do Conselho, de 27 de julho de 1994, relativo ao regime comunitário de proteção das variedades vegetais (JO 1994, L 227, p. 1): «Em caso de negligência simples, estas indemnizações poderão ser reduzidas em função do grau de gravidade da negligência mas nunca de modo a torná‑las inferiores aos benefícios que dela resultaram para a pessoa que praticou a violação.»

69 A inefabilidade das emoções ou das sensações, principalmente se estiverem relacionadas com riscos sobre o que pode acontecer com os dados no futuro, fez com que não fossem consideradas danos, dada a falta de concretização suficiente ou a sua natureza hipotética.

70 Ou seja, aos chefs de préjudice ou heads of damage.

71 No termos deste considerando, os titulares dos dados deverão ser «integral e efetivamente» indemnizados. Não penso que esta afirmação seja relevante para a terceira questão prejudicial, uma vez que não se refere às categorias de danos indemnizáveis, mas sim ao cálculo da reparação (uma etapa logicamente posterior à identificação do que é indemnizável, e não confundível com a mesma,). Tomando em consideração os trabalhos preparatórios do RGPD, a insistência no facto de os danos deverem ser «integral e efetivamente» indemnizados assegura que a participação de diversos responsáveis pelo tratamento ou subcontratantes não resulte numa compensação apenas parcial do titular dos dados. Por isso, o artigo 82.^o, n.^o 4, do RGPD dispõe que «[…] cada responsável pelo tratamento ou subcontratante é responsável pela totalidade dos danos, a fim de assegurar a efetiva indemnização do titular dos dados».

72 O artigo 23.^o da Diretiva 95/46 não especificou os danos indemnizáveis, o que suscitou um debate sobre quais eram abrangidos. A negociação prévia ao RGPD centrou‑se no esclarecimento das dúvidas relativas à inclusão dos danos imateriais. No considerando 118 da proposta da Comissão referida na nota 49, era feita referência à indemnização de qualquer dano. Nas fases posteriores do processo codecisão referiu‑se «[q]ualquer dano, pecuniário ou não», a que se seguiria a fórmula «danos não pecuniários» e acabaria por conduzir à expressão atual «danos imateriais».

73 Não o tinha feito no que respeita ao artigo 23.^o da Diretiva 95/46, nem o fez, até agora, quanto ao artigo 82.^o do RGPD. Também não o fez, salvo erro da minha parte, relativamente ao artigo 56.^o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89), ou ao artigo 19.^o da decisão‑quadro revogada.

74 Também não indicou um método de interpretação — autónomo ou por remissão para as ordens jurídicas nacionais — preferencial: depende da matéria que é objeto da análise. Compare‑se os Acórdãos de 10 de maio de 2001, Veedfald (C‑203/99, EU:C:2001:258, n.^o 27), em matéria de produtos defeituosos; de 6 de maio de 2010, Walz (C‑63/09, EU:C:2010:251, n.^o 21), sobre responsabilidade das transportadoras aéreas; ou de 10 de junho de 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, n.^os 37 e segs.), relativo à responsabilidade civil aplicável aos acidentes resultantes da circulação de veículos automóveis. Os documentos relativos às negociações do RGPD refletem as dúvidas dos Estados‑Membros quanto à questão de saber se os conceitos de danos e de indemnização do (então) artigo 77.^o deviam ou não ser autónomos e demonstram as diferentes posições a este respeito. A Comissão mostrou‑se favorável a deixar a questão para o Tribunal de Justiça. V. Conselho da União Europeia, Nota da Presidência n.^o 17831/13, de 16 de dezembro de 2013, nota 539.

75 Por exemplo, os consumidores de produtos ou as vítimas de acidentes de viação.

76 Em matéria de viagens organizadas, o Acórdão de 12 de março de 2002, Leitner (C‑168/00, EU:C:2002:163); no âmbito da responsabilidade civil resultante da circulação de veículos automóveis, os Acórdãos de 24 de outubro de 2013, Haasová (C‑22/12, EU:C:2013:692, n.^os 47 a 50); de 24 de outubro de 2013, Drozdovs (C‑277/12, EU:C:2013:685, n.^o 40); e de 23 de janeiro de 2014, Petillo (C‑371/12, EU:C:2014:26, n.^o 35).

77 Acórdão de 23 de janeiro de 2014, Petillo (C‑371/12, EU:C:2014:26, dispositivo): o direito da União não se opõe «a uma legislação nacional […] que prevê um regime especial de indemnização dos danos imateriais resultantes de lesões corporais pouco significativas causadas por acidentes de circulação rodoviária, que limita a indemnização desses danos relativamente ao que é admitido em matéria de reparação de danos idênticos resultantes de outras causas que não sejam esses acidentes».

78 Por exemplo, Acórdãos de 12 de março de 2002, Leitner (C‑168/00, EU:C:2002:163), sobre a perda do gozo de férias; e de 6 de maio de 2010, Walz (C‑63/09, EU:C:2010:251), sobre a perda de bagagens no âmbito das viagens organizadas.

79 No Acórdão de 17 de março de 2016, Liffers (C‑99/15, EU:C:2016:173, n.^o 17), sobre a interpretação da Diretiva 2004/48, afirmou que o dano moral constitui, «se se provar», uma componente per se do dano efetivamente sofrido. Logicamente, a prova pressupõe a realidade do dano; esta, por seu turno, aproxima‑se da ideia de gravidade da lesão, embora não coincida com a mesma.

80 Supra, n.^o 51.

81 Supra, n.^os 45 e segs.

82 Recentemente, em matéria de proteção de dados, em Itália, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 n.^o 5261, e Cass Civ. Ord. Sez 6, n.^o 17383/2020. Na Alemanha, entre outras, AG Diez, 07.11.2018 — 8 C 130/18; LG Karlsruhe, 02.08.2019 — 8 O 26/19; e AG Frankfurt am Main, 10.07.2020 — 385 C 155/19 (70). Na Áustria, OGH 6 Ob 56/21k.

83 V. Acórdão de 23 de outubro de 2012, Nelson e o. (C‑581/10 e C‑629/10, EU:C:2012:657, n.^o 51), sobre a distinção entre «danos» na aceção artigo 19.^o da Convenção para a unificação de certas regras relativas ao transporte aéreo internacional, celebrada em Montreal, em 28 de maio de 1999, e «inconvenientes» na aceção do Regulamento n.^o 261/2004, que são indemnizáveis ao abrigo do artigo 7.^o deste último, por força do Acórdão de 19 de novembro de 2009, Sturgeon e o. (C‑402/07 e C‑432/07, EU:C:2009:716). Neste setor, como no do transporte marítimo e por vias navegáveis interiores de passageiros a que se refere o Regulamento n.^o 1177/2010, o legislador pôde reconhecer uma categoria abstrata graças à circunstância de o fator que dá origem ao transtorno e a sua essência serem idênticos para todos os afetados. Não penso que essa inferência seja possível em matéria de proteção de dados.

84 O mecanismo paradigmático do exercício do direito do artigo 82.^o RGPD é o contencioso jurisdicional ordinário. O princípio da efetividade pode, evidentemente, condicionar a aplicação das regras nacionais sobre aspetos como as despesas processuais ou a prova. Todavia, a dificuldade de admitir que meros inconvenientes são indemnizáveis não se deve apenas à desproporção entre o seu valor monetário e o custo de um litígio (além do facto de os custos da administração da justiça não onerarem unicamente as partes). Perante o silêncio do RGPD, não me parece justificado impor aos Estados‑Membros que instaurem um processo ad hoc.

85 Recordo que, em conformidade com o artigo 82.^o, n.^o 3, do RGPD, o responsável pelo tratamento ou o subcontratante fica apenas isento de responsabilidade se provar que não é de modo algum responsável pelo evento que deu origem ao dano.

86 Com estas reflexões não determino se, no presente processo, a situação de UI se enquadrava numa ou noutra categoria, questão que o órgão jurisdicional de reenvio decidirá.

87 O mesmo acontece com o montante da indemnização.