CONCLUSÕES DO ADVOGADO‑GERAL
MANUEL CAMPOS SÁNCHEZ‑BORDONA
apresentadas em 6 de outubro de 2022 (1)
Processo C‑300/21
UI
contra
Österreichische Post AG
[pedido de decisão prejudicial apresentado pelo Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria)]
«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Danos não patrimoniais resultantes de um tratamento ilícito de dados — Requisitos do direito a indemnização — Danos acima de um determinado limiar de gravidade»
1. O Regulamento (UE) 2016/679 (2) confere a qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação das suas disposições direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante.
2. A possibilidade de reclamar esse direito pela via jurisdicional já se encontrava prevista na regulamentação anterior (artigo 23.o da Diretiva 95/46/CE) (3), embora tenha sido pouco utilizada (4). Salvo erro da minha parte, o Tribunal de Justiça ainda não procedeu à interpretação específica desse artigo.
3. Na vigência do RGPD as ações de indemnização tornaram‑se mais relevantes (5). O seu aumento é percetível nos tribunais dos Estados‑Membros e reflete‑se nos reenvios prejudiciais correspondentes (6) Neste reenvio prejudicial, o Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria) convida o Tribunal de Justiça a delinear algumas características comuns do regime de responsabilidade civil estabelecido pelo RGPD.
I. Quadro jurídico. RGPD
4. São pertinentes para este litígio, nomeadamente, os considerandos que figuram no preâmbulo do RGPD sob os números 75, 85 e 146.
5. O artigo 6.o («Licitude do tratamento») tem a seguinte redação:
«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
[…]»
6. O artigo 79.o («Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante»), n.o 1, prevê:
«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»
7. O artigo 82.o («Direito de indemnização e responsabilidade»), n.o 1, dispõe:
«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»
II. Matéria de facto, litígio e questões prejudiciais
8. Desde 2017, a Österreichische Post AG, empresa editora de endereços, recolheu informações sobre as afinidades partidárias da população austríaca. Por meio de um algoritmo e segundo critérios sociodemográficos, definia os «endereços de grupos‑alvo».
9. UI é uma pessoa singular relativamente a quem a Österreichische Post procedeu a uma extrapolação estatística, para determinar a sua classificação no âmbito dos possíveis grupos‑alvo para a publicidade eleitoral de diversos partidos políticos. Resultava desta extrapolação que UI apresentava uma forte afinidade com um deles. Estes dados não foram transferidos a terceiros.
10. UI, que não tinha prestado o seu consentimento ao tratamento dos dados pessoais, ficou descontente com a conservação dos dados relativos às suas simpatias partidárias, indignado e ofendido com a afinidade que, concretamente, a Österreichische Post lhe atribuiu.
11. UI pediu a concessão de uma indemnização de 1 000 euros por danos imateriais (inquietação interior). Alega que a afinidade partidária que lhe é atribuída é um insulto e o envergonha, além de causar um dano ao seu bom nome. Acrescenta que a conduta da Österreichische Post lhe causou grande descontentamento e espoletou uma perda de confiança e um sentimento de exposição pública.
12. O tribunal de primeira instância indeferiu o pedido de indemnização de UI (7).
13. O tribunal de recurso confirmou a sentença proferida em primeira instância. Declarou que nem todas as violações do RGPD implicam automaticamente um direito a indemnização por danos imateriais e que:
— Uma vez que o direito austríaco é aplicável como complemento ao RGPD, são apenas indemnizáveis os danos que vão além do descontentamento ou dos danos emocionais («Gefühlsschaden») provocados pela violação dos direitos do recorrente.
— Há que respeitar o princípio, subjacente à legislação austríaca, segundo o qual cada um deve suportar, sem qualquer consequência em termos de indemnização, um mero desconforto e uma simples inquietação. Por outras palavras, o direito a indemnização exige uma certa gravidade dos danos alegados.
14. O acórdão do tribunal de recurso foi objeto de recurso no Oberster Gerichtshof (Supremo Tribunal de Justiça), que submete ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) A concessão de uma indemnização nos termos do artigo 82.o do RGPD […], exige, a par da violação das disposições do RGPD, que o [recorrente] tenha sofrido um dano ou a violação de disposições do RGPD é suficiente, por si só, para permitir a concessão de uma indemnização?
2) Para efeitos da avaliação da indemnização, existem outros requisitos do direito da União além dos princípios da efetividade e da equivalência?
3) É compatível com o direito da União o entendimento de que a concessão de uma indemnização por danos [imateriais] pressupõe a existência de uma consequência ou efeito da violação do direito que tenha alguma gravidade e que vá além do descontentamento causado pela violação do direito?»
III. Tramitação processual
15. O pedido de decisão prejudicial foi registado no Tribunal de Justiça em 12 de maio de 2021.
16. Apresentaram observações escritas UI, a Österreichische Post, os Governos austríaco, checo, e irlandês e a Comissão Europeia. Não foi considerada necessária a realização de audiência.
IV. Análise
A. Preliminares
1. Admissibilidade
17. UI sustenta que a primeira questão prejudicial não é pertinente para o litígio, uma vez que o seu pedido não se baseou na «simples» violação de uma disposição do RGPD, mas sim nas suas consequências ou efeitos.
18. A exceção de inadmissibilidade deve ser rejeitada. Mesmo que se admitisse que o tratamento de dados violou o RGPD sem dano para UI, este poderia ter direito de indemnização ao abrigo do artigo 82.o do RGPD, se, como pergunta o órgão jurisdicional de reenvio, se viesse a confirmar que a simples violação de uma disposição relativa ao tratamento origina esse direito.
19. Segundo UI, o Tribunal de Justiça poderia igualmente considerar a segunda questão prejudicial inadmissível por ser muito aberta quanto ao seu conteúdo e excessivamente limitada no que respeita às exigências do direito da União, sem referir nenhuma em particular.
20. Esta objeção, ainda que mais fundada do que a anterior, também não pode ser considerada procedente. É legítimo que um órgão jurisdicional pretenda saber se, além do respeito dos princípios da equivalência e da efetividade, deve apreciar outros requisitos impostos pelo direito da União para avaliar o dano.
2. Delimitação do objeto das presentes conclusões
21. O artigo 82.o do RGPD contém seis números. O órgão jurisdicional de reenvio não se refere a nenhum em especial, mas recorre implicitamente ao primeiro deles. Também não especifica a disposição cuja violação daria lugar a indemnização.
22. As minhas conclusões terão como ponto de partida as seguintes premissas:
— O tratamento de dados pessoais de UI foi efetuado sem obter o seu consentimento na aceção do artigo 6.o, n.o 1, alínea a), do RGPD.
— O direito a indemnização cabe a qualquer pessoa que tenha sofrido um dano. No presente processo, enquanto pessoa singular identificada e afetada pelo tratamento, UI é «titular dos dados» (8).
— O RGPD prevê a indemnização de danos materiais e imateriais. A reclamação de UI limita‑se a estes últimos e tem um conteúdo pecuniário.
B. Primeira questão prejudicial
23. Com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber, em substância, se a simples violação das disposições do RGPD confere um direito a indemnização, independentemente de ter originado, ou não, um dano.
24. Pode deduzir‑se das afirmações do órgão de reenvio e das observações apresentadas ao Tribunal de Justiça que a questão admite igualmente outra leitura, um pouco mais complexa: trata‑se de determinar se a violação das disposições do RGPD implica necessariamente um dano que dá origem ao direito a indemnização, sem que o demandado tenha a possibilidade de demonstrar o contrário.
25. Existe uma certa diferença (teórica) entre estas duas abordagens: na primeira, o dano não é um pressuposto da indemnização; em contrapartida, é‑o na segunda. Na prática, a exigência da prova do dano pelo recorrente desaparece em ambos os casos; também não tem de demonstrar o nexo de causalidade entre a violação e esse dano (9).
26. Em todo o caso, adianto que, em meu entender, nenhuma das duas leituras da primeira questão merece resposta afirmativa. Referir‑me‑ei a ambas separadamente.
1. Indemnização sem dano?
27. Afirmar que há direito a indemnização, ainda que da violação do RGPD não resultem danos para o titular dos dados, suscita dificuldades evidentes, começando pela relativa à redação do artigo 82.o, n.o 1, desse regulamento.
28. Nos termos dessa disposição, a indemnização (10) é concedida precisamente porque ocorreu um dano prévio. Por conseguinte, exige‑se de forma inequívoca, que a pessoa singular tenha sofrido um dano devido a uma violação do RGPD.
29. A interpretação que associa, de forma automática, o conceito de «violação» ao de «compensação» sem a ocorrência de dano não se coaduna, portanto, com a redação do artigo 82.o do RGPD. Também não se coaduna com o objetivo primário da responsabilidade civil introduzido pelo RGPD, que consiste em que o titular dos dados seja «integral e efetivamente» indemnizado pelos danos que tenha sofrido (11).
30. Na falta do dano, a indemnização já não exerceria uma função de reparação das consequências desfavoráveis que a violação gerou, mas sim uma função de natureza diferente, mais próxima da função sancionadora.
31. Todavia, é verdade que a ordem jurídica de um Estado‑Membro pode prever o pagamento de uma indemnização a título punitivo (12). Entende‑se como tal a condenação no pagamento de um montante substancial, para além da estrita reparação do dano.
32. Em geral, as indemnizações de natureza punitiva não dispensam a existência prévia do dano. Tomando este como ponto de partida, dissociam, no entanto, as suas consequências patrimoniais do montante da reparação correspondente a esse dano.
33. Todavia, não é inconcebível que uma indemnização de natureza punitiva dispense o dano ou o considere irrelevante para satisfazer quem a pediu.
34. A resposta à primeira questão prejudicial obriga‑me a analisar a inserção deste tipo de indemnizações no RGPD, tanto mais que o despacho de reenvio e as observações das partes e dos intervenientes no reenvio prejudicial se referiram a essas indemnizações.
2. Indemnização de natureza punitiva?
a) Interpretação literal
35. À função clássica da responsabilidade civil pode juntar‑se outra de natureza «punitiva» ou «exemplar», em virtude da qual, como já descrevi, o montante da indemnização não equivale ao dano sofrido, mas aumenta ou até multiplica a sua quantia.
36. Em princípio, o direito da União não se opõe a estas indemnizações, no que respeita à violação das suas normas, se podem ser concedidas no âmbito de ações semelhantes baseadas no direito interno (13).
37. As indemnizações de natureza punitiva têm uma finalidade dissuasiva. Esta mesma finalidade pode efetivar‑se quando, perante a violação de uma diretiva, os Estados‑Membros são chamados a tomar medidas com vista a produzir «um efeito dissuasivo real» (14). Algumas diretivas preveem expressamente que as indemnizações, concebidas como sanções, sejam dissuasivas (15).
38. Em contrapartida, noutros textos o legislador declara que o objetivo de uma diretiva não consiste em «introduzir a obrigação de prever indemnizações punitivas» (16); ou em que os Estados‑Membros tenham de evitar este tipo de indemnizações na sua transposição (17). No direito da União, a condenação direta dos denominados «danos punitivos» é excecional (18).
39. Ora, o RGPD não contém nenhuma referência à natureza punitiva da indemnização por danos materiais ou imateriais, ou ao facto de o cálculo do seu montante refletir essa natureza, ou de essa indemnização ser dissuasiva (qualidade que, em contrapartida, atribui às sanções penais e às coimas) (19). De acordo com o ponto de vista literal não permite conceder indemnizações de natureza punitiva.
b) Interpretação à luz dos antecedentes da disposição
40. O artigo 82.o, n.o 1, do RGPD tem como precedente o artigo 23.o, n.o 1, da Diretiva 95/46. Este último fazia parte de um sistema que confiava a sua efetividade à aplicação pública e privada (20), mas em que a compensação (privada) e a sanção (pública) não se confundiam (21). A fiscalização do cumprimento das normas incumbia, antes de mais, às autoridades de controlo independentes (22).
41. O RGPD retoma esse modelo, mas reforça os instrumentos úteis para assegurar a eficácia das suas disposições, agora mais pormenorizadas, e das reações previstas, que passaram a ser mais intensas, face à sua violação ou ameaça de violação:
— Por um lado, aumenta as funções das autoridades de controlo, às quais incumbe, entre outras coisas, impor as sanções harmonizadas previstas pelo próprio RGPD (23). Destaca, assim, o elemento de aplicação pública das normas.
— Por outro lado, prevê que os particulares assumam a defesa dos direitos que o RGPD lhes confere (24), quer através da ativação da ação das autoridades de controlo (artigo 77.o), quer recorrendo à via jurisdicional (artigos 79.o e 82.o). Além disso, o artigo 80.o autoriza determinadas entidades a agir em representação (25), o que facilita a proteção de interesses gerais ao alcance dos particulares (26).
42. O desenvolvimento do regime uniforme de responsabilidade civil por danos no RGPD foi limitado. Aspetos suscetíveis de serem duvidosos na vigência da Diretiva 95/46, como o relativo à inclusão dos danos imateriais entre os indemnizáveis (27), foram imediatamente esclarecidos. A negociação incidiu sobre outros aspetos desse regime (28).
43. Não encontrei nos trabalhos legislativos nenhuma discussão sobre uma eventual função punitiva da responsabilidade civil visada pelo RGPD. Por conseguinte, não se pode deduzir que a mesma está abrangida pelo seu artigo 82.o, na falta de qualquer debate a esse respeito, tanto mais que se discutiu a sua inclusão noutros textos do direito da União (29),
44. Nestas condições, considero que a ação do artigo 82.o, n.o 1, do RGPD foi concebida e regulamentada ao serviço das funções típicas da responsabilidade civil: a que consiste na compensação dos danos (para a pessoa lesada) e, acessoriamente, a relativa à prevenção de danos futuros (para o infrator).
c) Interpretação contextual
45. Como já referi, o artigo 82.o do RGPD faz parte de um sistema de garantias da efetividade das normas em que a iniciativa privada complementa a sua aplicação pública. A indemnização devida pelos responsáveis do tratamento de dados ou pelos subcontratantes contribui para essa efetividade.
46. O dever de indemnização funciona (idealmente) incentivando uma atuação futura mais cuidadosa, em conformidade com as regras e evitando novos danos. Assim, ao reclamar uma indemnização para si próprio, cada indivíduo contribui para a eficácia geral das normas.
47. Neste âmbito, as funções compensatória e punitiva estão separadas:
— Dizem respeito à segunda as coimas suscetíveis de serem aplicadas pelas autoridades de controlo ou pelos tribunais (artigo 83.o, n.os 1 e 9, do RGPD) e outras sanções que os Estados adotem em aplicação do artigo 84.o do RGPD (30).
— Dizem respeito à primeira a reclamação do particular (artigo 77.o) e os processos judiciais (artigo 79.o). Todavia, não compete às autoridades de controlo julgar o direito a indemnização.
48. Na mesma linha de separação das funções de compensação e de sanção:
— Ao aplicar uma coima e estabelecer o seu montante, a autoridade deverá ter em conta os fatores enumerados no artigo 83.o do RGPD, que não se encontram previstos no âmbito da responsabilidade civil e que, em princípio, não são transponíveis para o cálculo da indemnização (31).
— Se o nível de danos sofridos pelos afetados constituir um fator de graduação da coima (32), o cálculo do seu montante não deve ter em conta a indemnização que possam ter recebido (33).
49. De um ponto de vista teórico, uma interpretação que, na falta de qualquer dano, confia à responsabilidade civil a função punitiva cria o risco de transformar os mecanismos indemnizatórios em mecanismos redundantes relativamente às sanções.
50. Na prática, a facilidade de obter um ganho «punitivo» a título indemnizatório poderia incentivar os titulares dos dados a preferir esta via à do artigo 77.o do RGPD. Se se generalizasse, as autoridades de controlo ficariam privadas de um instrumento (a reclamação do interessado) para serem chamadas a agir e, portanto, a investigar e sancionar eventuais violações do RGPD, em detrimento dos instrumentos mais adequados à defesa do interesse geral.
d) Interpretação teleológica
51. Os objetivos do RGPD são essencialmente dois, que são desde logo enunciados no seu título: a) por um lado, «a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais»; b) por outro, que essa proteção seja articulada de modo que «[a] livre circulação desses dados» na União não seja proibida nem restringida (34).
52. Considero que, para atingir esses objetivos, o RGPD não exige que a indemnização seja associada à simples violação da norma que regula o tratamento, dotando a responsabilidade civil de funções punitivas.
53. Quanto ao primeiro objetivo, não é necessário, para efeitos da sua prossecução, alargar por via interpretativa o âmbito de aplicação do artigo 82.o do RGPD, abrangendo os casos em que houve violação de uma norma, mas não um dano. Em contrapartida, essa extensão é suscetível de ter um efeito negativo no segundo.
54. Já salientei que o RGPD prevê diversos mecanismos de garantia do cumprimento das suas normas, que coexistem e que se complementam. Os Estados‑Membros não têm de escolher (e não podem, na realidade) entre os mecanismos do capítulo VIII para assegurar a proteção dos dados. Perante uma violação que não dê origem a um dano, é ainda oferecida ao titular dos dados (pelo menos) o direito de apresentar uma reclamação a uma autoridade de controlo, nos termos do artigo 77.o, n.o 1, do RGPD.
55. De resto, é provável que a perspetiva de obtenção de uma compensação sem a existência de qualquer dano incentivasse os litígios pela via civil, eventualmente com ações nem sempre justificadas (35), e, nessa medida, poderia desencorajar a atividade de tratamento de dados (36).
3. Presunção de dano?
56. Em algumas das observações das partes no litígio, é proposta uma leitura da primeira questão prejudicial diferente da que examinei até agora. Se bem compreendo a sua posição (37), parecem defender a existência de uma presunção incontestável de dano, uma vez ocorrida a violação da norma.
57. Acrescentam que essa violação implicaria necessariamente a perda de controlo sobre os dados, o que constituiria, em si mesmo, um dano indemnizável ao abrigo do artigo 82.o, n.o 1, do RGPD.
58. Em teoria, essa presunção não permite dispensar o dano, com o qual se respeita a estrutura típica da responsabilidade civil e a letra da disposição do RGPD. Todavia, na prática, para o recorrente e para o recorrido, os efeitos da sua aceitação seriam semelhantes aos que decorrem de associar a indemnização do artigo 82.o, n.o 1, do RGPD à simples violação da norma.
59. Recorrerei novamente aos critérios hermenêuticos habituais para explicar por que razão esta interpretação não me parece correta.
a) Interpretação literal
60. Quando, noutros domínios do direito da União, o legislador considerou que o direito a indemnização decorre automaticamente da violação de uma norma, não hesitou em prevê‑lo (38). Não é esse o caso do RGPD, no qual figuram regras relativas à prova, ou que têm consequências diretas sobre esta (39), mas não aquela conexão automática, direta ou por via de presunção inilidível.
61. As referências ao controlo dos dados (ou à perda desse controlo) constantes dos considerandos 75 (40) e 85 (41) do RGPD não me parecem contrariar essa ausência. Além do facto de que, enquanto considerandos, não têm valor normativo, nenhum deles indica que a violação de uma norma implique per se um dano indemnizável:
— O considerando 75 faz referência ao facto de o impedimento do controlo sobre os dados pessoais constituir um dos eventuais riscos do tratamento.
— O considerando 85 refere‑se à perda de controlo como uma das consequências que poderiam ocorrer na sequência de uma violação dos dados pessoais (42).
62. A perda de controlo da utilização dos dados não tem necessariamente de desencadear um dano. A expressão pode ser entendida como uma força de expressão para se referir a danos subsequentes a essa perda, caso se concretizem (43).
b) Interpretação à luz dos antecedentes
63. A análise dos antecedentes também não fundamenta a existência dessa presunção, que não figurava na Diretiva 95/46 (44), sendo que os documentos que analisei da Comissão, do Parlamento Europeu ou do Conselho anteriores à aprovação do RGPD não a incluíam.
c) Interpretação contextual
64. O sistema do RGPD fornece elementos para se rejeitar que aceita a presunção controvertida, tomando como ponto de referência o consentimento do titular dos danos (45). Enquanto vetor do seu controlo sobre os dados, esse consentimento legitima o seu tratamento ao mesmo nível que outros fundamentos jurídicos (artigo 6.o do RGPD) (46).
65. Um tratamento lícito de dados pessoais é concebível independentemente da autorização do titular dos dados e, por conseguinte, do controlo que representa conceder ou recusar essa autorização. Em definitivo, o seu peso no sistema não é absoluto.
66. Além disso, o RGPD prevê outras possibilidades de exercício desse controlo: entre elas, o direito ao apagamento dos dados que obriga o responsável pelo tratamento a eliminar «sem demora injustificada» as informações correspondentes (47).
67. Para o titular dos dados que são tratados, este direito funciona como válvula de segurança do regime de proteção: mantém‑se (como regra de princípio) quando o responsável não obteve o consentimento do titular dos dados e quando não existe outro fundamento que legitime o tratamento de dados; e não depende do facto de deste resultarem danos (48).
d) Interpretação teleológica
1) O controlo do titular dos dados sobre os seus dados enquanto objetivo do RGPD?
68. A equivalência automática entre um tratamento de dados pessoais relativamente ao qual o consentimento do titular dos dados não foi obtido e um dano indemnizável pressupõe que esse controlo, do qual o consentimento é um vetor, constitui um valor em si mesmo.
69. Admito que, à primeira vista, esta opinião não seja desprovida de fundamento. O facto de os cidadãos poderem controlar a utilização que é feita dos seus dados consta na proposta da Comissão como um dos principais motivos da reforma (49). O considerando 7 do RGPD declara que «[a]s pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais».
70. O facto é que é necessária prudência no âmbito da interpretação deste conceito, para além dos debates doutrinais que suscitou. Não existe no RGPD (nem encontrei noutro lugar) uma definição precisa de «controlo» (50). O termo admite pelo menos duas aceções, que não se excluem mutuamente: como «poder» ou «domínio», e como «supervisão».
71. Da formulação do considerando 7 do RGPD resulta alguma insegurança, uma vez que difere consoante as versões linguísticas (51). Tendo em conta o seu conteúdo, considero que o RGPD confere ao titular dos dados poderes de vigilância e de intervenção em operações realizadas por outros sobre os dados, como um instrumento (conjuntamente com outros) ao serviço da proteção desses dados.
72. O próprio titular dos dados contribui e é responsável pela proteção das informações contidas nos dados, na medida — nível e modalidades — que o RGPD prevê. O âmbito da ação individual é limitado: limita‑se, no que respeita aos direitos que o RGPD enumera, a exercê‑los em condições precisas.
73. O consentimento do titular dos dados, enquanto expressão máxima de controlo (52), constitui apenas um dos fundamentos jurídicos para um tratamento lícito, mas não tem capacidade para validar o incumprimento das outras obrigações e condições que recaem sobre o responsável pelo tratamento e sobre o subcontratante.
74. Não me parece fácil deduzir do RGPD que visa conferir ao titular dos dados o controlo sobre os dados pessoais como um valor em si mesmo. Também não me parece que o titular dos dados tenha de ter o maior controlo possível sobre esses dados.
75. Esta conclusão não surpreende. Por um lado, não é evidente que o controlo, na sua aceção de domínio sobre os dados, faça parte do conteúdo essencial do direito fundamental à proteção dos dados pessoais (53). Por outro lado, o entendimento deste direito como direito à autodeterminação informativa está longe de ser unânime: o artigo 8.o da Carta não utiliza esses termos (54).
76. No mesmo sentido, também não foi incluído no texto final do RGPD um considerando que enunciava que «[o] direito à proteção de dados pessoais assenta no direito que incumbe ao titular dos dados de exercer o controlo dos dados pessoais que estão a ser objeto de tratamento» (55).
77. As reflexões que precedem, talvez demasiado abstratas, levam‑me a afirmar que, quando o titular dos dados não dá o seu consentimento a um tratamento e este é efetuado sem outro fundamento jurídico legítimo, não tem de ser compensado financeiramente pela perda do controlo sobre a utilização dos seus dados, como se essa perda implicasse, enquanto tal, um dano indemnizável (56). O facto de, além disso, ter ou não sofrido um dano, permanece em dúvida (e deverá ser provado) (57).
2) O controlo do titular dos dados no contexto
78. Por último, parece‑me oportuno recordar que a proteção dos dados pessoais é enunciada como objetivo do RGPD conjuntamente com a finalidade de incentivar a livre circulação de dados (58).
79. O reforço do controlo do cidadão sobre as suas informações pessoais no ambiente digital constitui uma das finalidades reconhecidas da modernização do regime de proteção de dados pessoais, mas não um objetivo independente ou isolado.
80. A Comissão, na comunicação que acompanhou a sua proposta de RGPD, associava um elevado nível de proteção dos dados à confiança nos serviços em linha, que permite concretizar todo o potencial da economia digital e incentivar «o crescimento económico e a competitividade das empresas da UE». Com a renovação (e a harmonização acrescida) da regulamentação da União «consolida[‑se] a dimensão “mercado único” da proteção de dados» (59).
81. Perante a evidência do valor dos dados (pessoais e não pessoais) para o progresso económico e social na Europa, o RGPD não visa ampliar o controlo do indivíduo sobre as informações que lhe dizem respeito, submetendo‑se muito simplesmente às suas preferências, mas sim conciliar o direito à proteção dos dados pessoais de cada um com os interesses de terceiros e da sociedade (60).
82. O RGPD, insisto, não se destina a limitar sistematicamente o tratamento de dados pessoais, mas sim a legitimá‑lo em condições estritas. Este objetivo é servido, sobretudo, pelo incentivo da confiança do titular dos dados no facto de o tratamento ser feito num contexto seguro (61), para o qual ele próprio contribui. Desta forma, encoraja‑se a sua vontade para permitir o acesso e a utilização dos seus dados, entre outros domínios, no das transações comerciais em linha.
C. Segunda questão prejudicial
83. O órgão jurisdicional de reenvio pretende saber se, «[p]ara efeitos da avaliação da indemnização, existem outros requisitos do direito da União além dos princípios da efetividade e da equivalência».
84. Na realidade, não se afigura que o princípio da equivalência desempenhe aqui um papel relevante: o regime harmonizado do RGPD é diretamente aplicável nesta matéria e o seu artigo 82.o regula todos os danos imateriais resultantes de uma violação, independentemente da sua origem.
85. Para o princípio da efetividade, é válida a mesma reflexão. Questão diferente consiste em saber se a indemnização, ao conformar‑se com o enunciado no considerando 146 do RGPD (os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido), deve ter um conteúdo ou outro.
86. O artigo 82.o do RGPD não impõe nenhum outro requisito para além da violação das suas normas quando tenha como consequência os danos, materiais ou imateriais, sofridos por qualquer pessoa. No que respeita ao cálculo efetivo do montante da indemnização relativa a esses danos, não estabelece diretrizes para os órgãos jurisdicionais nacionais.
87. Tendo em conta os dois termos qualificativos já transcritos (integral e efetivamente), a indemnização dependerá, em primeiro lugar, do pedido formulado por cada recorrente.
88. Se esse pedido consistir na condenação no pagamento de uma indemnização de natureza punitiva (62), a resposta à primeira questão prejudicial seria suficiente: esse tipo de indemnizações não se encontra previsto no RGPD. No seu seio, a responsabilidade civil exerce uma função de compensação «privada», ao passo que as coimas e as sanções penais têm a função pública de dissuadir e, sendo caso disso, de punir.
89. Não se exclui que a reparação solicitada a título de dano imaterial incorpore outros componentes que não o meramente pecuniário, como, por exemplo, o reconhecimento da ocorrência da violação, conferindo ao recorrente uma certa satisfação moral. O Acórdão do Tribunal de Justiça de 15 de abril de 2021 (63), embora diga respeito a um domínio diferente do da proteção de dados, permitiria, por analogia, responder a esse pedido.
90. Nas ordens jurídicas que assim disponham, é possível que o regime de responsabilidade civil preveja condenações a título de reconhecimento de um direito (pagamento de uma indemnização simbólica) ou de neutralização de um lucro indevido (pagamento do lucro injustamente obtido).
91. Subjacente às primeiras está a ideia de dar continuidade e de concretizar o direito («Rechtsfortsetzungsfunktion») através de uma indemnização puramente simbólica, acrescentada à declaração de que o recorrido praticou um ato ilícito e violou direitos do recorrente. O artigo 82.o do RGPD não a prevê nem há indícios da mesma nos trabalhos preparatórios, facto que não deve surpreender uma vez que não é comum aos sistemas jurídicos dos Estados‑Membros (64), nem está isenta de críticas naqueles em que existe (65).
92. Todavia, o sistema do RGPD e os seus objetivos não se opõem a que os Estados‑Membros que conhecem essa solução a disponibilizem às pessoas afetadas pela violação de uma norma, no âmbito dos recursos previstos no seu artigo 79.o, em caso de inexistência total de danos. Em contrapartida, quando o recorrente alega ter sofrido um dano pecuniário, a situação é regulada pelo artigo 82.o do RGPD e a dificuldade em prová‑lo não se deve traduzir numa indemnização simbólica (66).
93. Quanto às condenações que consistem no pagamento do montante na sequência da violação de um direito, podem ter por objeto privar o seu autor do lucro obtido. Fora do domínio da propriedade intelectual (67), esta finalidade não é comum no direito da responsabilidade civil, que se interessa sobretudo à perda da parte lesada e não ao ganho do autor da violação (68). O RGPD não a incluiu no seu articulado.
94. Estas reflexões destinam‑se a facilitar a tarefa do órgão jurisdicional de reenvio, tendo em conta a abrangência da sua segunda questão prejudicial. Todavia, não ignoro que a sua utilidade pode ser limitada para julgar procedente ou improcedente uma ação no âmbito da qual o titular dos dados pede uma indemnização estritamente pecuniária pelos danos imateriais.
D. Terceira questão prejudicial
95. O órgão jurisdicional de reenvio pretende saber se, no RGPD, a concessão de uma indemnização por danos morais pressupõe a «violação do direito que tenha alguma gravidade e que vá além do descontentamento causado pela violação do direito».
96. Como critério para determinar o que é indemnizável, o pedido de decisão prejudicial toma em consideração a intensidade da experiência da pessoa afetada. Em contrapartida, não pergunta (pelo menos diretamente) se uma determinada emoção ou sensação dessa pessoa é ou não relevante para efeitos do artigo 82.o, n.o 1, do RGPD devido ao seu conteúdo (69).
97. Coloca‑se, assim, a questão de saber se os Estados‑Membros podem subordinar a indemnização do dano imaterial à importância das consequências decorrentes da violação da norma, incluindo apenas as que ultrapassem um determinado limiar de gravidade. Por conseguinte, a questão não diria respeito às categorias indemnizáveis (70) nem ao montante da indemnização, mas sim à existência de um limite mínimo da reação da pessoa afetada, abaixo do qual não seria compensado.
98. O artigo 82.o RGPD não dá uma resposta direta à questão. Na minha opinião, também não o fazem os considerandos 75 e 85. Ambos contêm uma enumeração exemplificativa de danos para se chegar a uma cláusula aberta que parece restringir os danos indemnizáveis aos «importantes».
99. Todavia, não creio que esses considerandos sejam úteis para responder à questão do órgão jurisdicional de reenvio:
— O primeiro diz respeito à identificação e à avaliação dos riscos associados ao tratamento dos dados, e à adoção de medidas destinadas a evitar ou a atenuar esses riscos. Respeita às consequências indesejáveis de qualquer tratamento e destaca algumas «em especial», provavelmente devido ao seu caráter mais grave.
— O segundo refere‑se às violações de dados, alertando para o facto de as suas consequências poderem ser significativas.
100. Da declaração constante do considerando 146 do RGPD (os responsáveis deverão reparar «quaisquer danos») (71) também não se deduzem critérios que permitam responder a essa questão.
101. A transposição deste considerando para o texto do RGPD determinou que este último incluísse, explicitamente, os danos imateriais, substituindo‑se ao silêncio, quanto a este aspeto, da Diretiva 95/46 (72). Em contrapartida, a questão hoje suscitada no Tribunal de Justiça não, em especial, foi abordada.
102. Nesse mesmo considerando 146 do RGPD declara‑se que «[o] conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento».
103. Não estou certo de que essa indicação tenha tido uma grande utilidade no contexto da proteção de dados, uma vez que o Tribunal de Justiça ainda não se tinha pronunciado sobre a matéria quando o RGPD foi adotado (73). Se se quisesse fazer referência a acórdãos relativos à responsabilidade civil regulada noutras diretivas ou regulamentos, teria sido bem‑vinda uma referência à analogia.
104. Na realidade, o Tribunal de Justiça não elaborou uma definição geral de «danos» aplicável indistintamente em qualquer domínio (74). Para o que aqui interessa (os danos imateriais), pode deduzir‑se da sua jurisprudência que:
— Quando o objetivo (ou um dos objetivos) da disposição interpretada consiste na proteção do indivíduo ou de uma determinada categoria de indivíduos (75), o conceito de danos deve ser amplo.
— Em coerência com esse critério, a indemnização estende‑se aos danos imateriais, mesmo que não sejam referidos na disposição interpretada (76).
105. Embora a jurisprudência do Tribunal de Justiça autorize a considerar que, nos termos expostos, existe no direito da União um princípio de indemnização dos danos imateriais, não penso que, em contrapartida, daí se possa inferir uma regra por força da qual qualquer dano imaterial seja indemnizável, independentemente da sua gravidade.
106. O Tribunal de Justiça admitiu a compatibilidade com as normas europeias da legislação nacional que, para o cálculo da compensação, distingue entre danos imateriais relacionados com lesões corporais por acidente, consoante a origem deste (77).
107. Avaliou igualmente quais as circunstâncias suscetíveis de provocar danos imateriais, em conformidade com a disposição aplicável em cada processo (78), mas não se pronunciou expressamente (se não me engano) sobre o requisito relativo à gravidade desses danos (79).
108. Aqui chegados, penso que a terceira questão prejudicial deve ser respondida afirmativamente.
109. Para fundamentar a minha posição, recordo que o RGPD não tem por objetivo único a salvaguarda do direito fundamental à proteção dos dados pessoais (80) e que o seu sistema de garantias integra mecanismos de tipologia diversa (81).
110. Neste contexto, é relevante a distinção, proposta ao Tribunal de Justiça, entre danos imateriais indemnizáveis e outros inconvenientes resultantes do desrespeito da legalidade que, dada a sua fraca importância, não dão necessariamente direito a compensação.
111. Essa dissociação é compreendida nas ordens jurídicas nacionais, como corolário inevitável da vida em sociedade (82). O Tribunal de Justiça não é alheio a esta distinção, que admite quando faz referência aos transtornos e inconvenientes como categoria autónoma relativamente à dos danos, em domínios em que considera que devem ser indemnizados (83). Nada impede a sua transposição para o RGPD.
112. De resto, o direito a indemnização previsto no artigo 82.o, n.o 1, do RGPD não me parece ser o instrumento adequado para contrariar violações no tratamento de dados pessoais, se o que causam no interessado é apenas indignação ou descontentamento.
113. Regra geral, qualquer violação de uma norma relativa à proteção de dados pessoais dará origem a uma reação negativa do titular dos dados. Uma indemnização decorrente do simples sentimento de desconforto face à falta de respeito de outrem pela lei confunde‑se facilmente com uma compensação sem dano, que já rejeitei anteriormente.
114. Do ponto de vista prático, incluir entre os danos imateriais indemnizáveis os meros descontentamentos não é eficaz, tendo em conta os inconvenientes e as dificuldades característicos de uma reclamação judicial para o recorrente (84), e da defesa para o recorrido (85).
115. Recusar o direito a indemnização pelos sentimentos ou emoções fracos e temporários (86) relacionados com a violação de regras relativas ao tratamento não deixa o titular dos dados totalmente desamparado. Como indiquei no âmbito da primeira questão, o sistema do RGPD disponibiliza‑lhe outros recursos.
116. Não tenho dúvidas de que a fronteira entre os simples descontentamentos (não indemnizáveis) e os verdadeiros danos imateriais (indemnizáveis) é ténue, nem ignoro a complexidade associada à delimitação, em abstrato, das duas categorias e à sua concreta aplicação a um litígio. Essa difícil tarefa cabe aos juízes dos Estados‑Membros que, provavelmente, não poderão abstrair‑se, nas suas decisões, da perceção que, em cada momento, a sociedade tenha sobre a tolerância admissível quando as consequências subjetivas da violação de uma norma nesta matéria não ultrapassem um nível de minimis (87).
V. Conclusão
117. Atendendo ao exposto, proponho que se responda ao Oberster Gerichtshof (Supremo Tribunal de Justiça, Áustria) nos seguintes termos:
«O artigo 82.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),
deve ser interpretado no sentido de que:
para permitir a concessão de uma indemnização por danos sofridos por uma pessoa como consequência de uma violação do regulamento referido não é suficiente a simples violação da norma, por si só, se não for acompanhada dos danos materiais ou imateriais correspondentes.
A indemnização dos danos imateriais que regula não abrange o simples descontentamento que a pessoa afetada possa sentir em resultado da violação das disposições do Regulamento 2016/679. Compete aos órgãos jurisdicionais nacionais determinar, em função das suas características, quando é que a sensação subjetiva de desconforto pode, em cada caso, ser considerada um dano imaterial.»