CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Edição provisória

CONCLUSÕES DO ADVOGADO‑GERAL

ANTHONY MICHAEL COLLINS

apresentadas em 26 de outubro de 2023 (1)

Processos apensos C‑182/22 e C‑189/22

JU (C‑182/22)

SO (C‑189/22)

contra

Scalable Capital GmbH

[pedido de decisão prejudicial apresentado pelo Amtsgericht München (Tribunal de Primeira Instância de Munique, Alemanha)]

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 82.°, n.° 1 — Direito de indemnização por danos causados por um tratamento de dados que viole este regulamento — Danos imateriais — Roubo de dados — Roubo ou usurpação da identidade»

I. Introdução

1. No âmbito de duas ações em grande parte idênticas intentadas por JU contra a Scalable Capital GmbH (a seguir «Scalable Capital») (Processo C‑182/22) e por SO contra a Scalable Capital (Processo C‑189/22), os demandantes pedem uma indemnização por danos imateriais causados pela alegada dor e sofrimento causados pelo que o órgão jurisdicional de reenvio qualifica de roubo (2), por terceiros desconhecidos, dos seus dados pessoais conservados numa aplicação de negociação gerida pela Scalable Capital. Até à data, os terceiros não utilizaram os dados para fins fraudulentos ou outros. O Amtsgericht München (Tribunal de Primeira Instância de Munique, Alemanha) solicita a orientação do Tribunal de Justiça sobre a interpretação do conceito de danos imateriais que figura no artigo 82.° do Regulamento (UE) 2016/679 (3) e sobre os requisitos que têm de ser preenchidos para se ter direito a uma indemnização por esses danos. Pergunta, em especial, se o roubo desses dados constitui um «roubo da identidade» ao qual se refere o considerando 75 do RGPD.

II. Quadro jurídico — Direito da União

2. O considerando 75 do RGPD tem a seguinte redação:

«O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; [...]»

3. O considerando 85 do RGPD estabelece:

«Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares. [...]»

4. O considerando 146 do RGPD tem a seguinte redação:

«O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento [...] O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. [...] Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido.»

5. Por força do artigo 82.° do RGPD, sob a epígrafe «Direito de indemnização e responsabilidade»:

«1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.° 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

[…]»

III. Litígios nos processos principais e questões prejudiciais

6. JU e SO abriram contas de investimento com base numa aplicação de negociação gerida pela Scalable Capital. A fim de verificar a sua identidade, ambos registaram dados pessoais na aplicação, incluindo os respetivos nomes, datas de nascimento, endereços postais e de correio eletrónico e cópias digitais dos seus bilhetes de identidade (4). Constitui facto assente que infratores desconhecidos roubaram estes dados.

7. O Amtsgericht München (Tribunal de Primeira Instância de Munique) considera que os dados roubados são relativamente sensíveis e conclui que JU e SO têm direito a uma indemnização ao abrigo do artigo 82.° do RGPD. Considerando que o montante da indemnização a conceder a JU e SO depende da interpretação do artigo 82.° do RGPD, decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 82.° do RGPD ser interpretado no sentido de que o direito de indemnização, também no que respeita à sua quantificação, não assume natureza sancionatória ou, mais concretamente, não tem função dissuasiva geral ou especial, mas sim apenas função ressarcitória e, eventualmente, compensatória?

2.a) Para efeitos do cálculo do montante indemnizatório por danos não patrimoniais, deve considerar‑se que o direito de indemnização tem também função compensatória individual — aqui entendida como o interesse particular do lesado na punição da conduta geradora do dano — ou esse direito de indemnização tem apenas função ressarcitória — aqui entendida como a função que visa unicamente ressarcir os danos sofridos?

2.b)1. Caso se entenda que a indemnização por danos não patrimoniais tem tanto uma função ressarcitória como uma função compensatória: na quantificação, deve partir‑se do princípio de que a função ressarcitória assume prioridade estrutural ou que, pelo menos, constitui a regra, relativamente à função compensatória? Daí decorre que a função compensatória só seja chamada à colação no caso de lesões dolosas ou cometidas com negligência grosseira?

2.b)2. Caso a indemnização por danos não patrimoniais não tenha função compensatória: no âmbito da sua quantificação, apenas são atendíveis, na avaliação da conduta geradora do dano, as violações das regras de proteção de dados pessoais, cometidas dolosamente ou com negligência grosseira?

3) Na quantificação da indemnização por danos não patrimoniais, deve partir‑se do princípio de que existe uma prioridade estrutural ou, pelo menos, uma relação regra‑exceção, nos termos da qual o prejuízo em consequência da violação das regras de proteção de dados pessoais tem menor importância do que a perturbação e a dor associadas a uma lesão corporal?

4) Caso o tribunal nacional considere a ocorrência de determinado dano, pode, em razão da menor gravidade deste, atribuir ao lesado uma indemnização material limitada ao mínimo, suscetível de ser percecionada, pelo lesado ou pelo público em geral, como meramente simbólica?

5) No âmbito da avaliação dos efeitos da indemnização por danos não patrimoniais, considera‑se que só se verifica um roubo de identidade, na aceção do considerando 75 do RGPD, quando o infrator assumiu efetivamente a identidade da pessoa afetada, fazendo‑se passar por esta, ou esse roubo de identidade verifica‑se logo a partir do momento em que o infrator está na posse de dados que permitem identificar essa pessoa?»

IV. Tramitação processual no Tribunal de Justiça

8. Por Decisão de 19 de abril de 2022, o presidente do Tribunal de Justiça ordenou a apensação dos processos C‑182/22 e C‑189/22 para efeitos das fases escrita e oral e do acórdão.

9. Em 1 de junho de 2022, o presidente do Tribunal de Justiça indeferiu o pedido de anonimização do presente processo apresentado pela Scalable Capital ao abrigo do artigo 95.°, n.° 2, do Regulamento de Processo do Tribunal de Justiça.

10. SO, a Scalable Capital, a Irlanda e a Comissão Europeia apresentaram observações escritas.

11. Começarei por abordar as exceções suscitadas contra a admissibilidade das questões prejudiciais antes de aconselhar o Tribunal de Justiça, na sequência do seu pedido, sobre a forma como deve responder à quinta questão.

V. Apreciação

A. Quanto à admissibilidade

12. Segundo a Scalable Capital, a perda de controlo sobre os dados pessoais, sem consequências adicionais para a pessoa afetada, não dá origem a danos imateriais na aceção do artigo 82.°, n.° 1, do RGPD. A redação, a sistemática e a finalidade do artigo 82.° do RGPD não sustentam a existência de uma presunção de que esses danos se materializam em resultado dessa perda de controlo. O órgão jurisdicional de reenvio cometeu, assim, um erro ao partir do pressuposto de que JU e SO tinham sofrido danos imateriais. Os pedidos de decisão prejudicial carecem, por conseguinte, de pertinência para a decisão das ações intentadas no órgão jurisdicional de reenvio e são, portanto, inadmissíveis.

13. A Comissão considera que a pertinência da quinta questão para a decisão das ações intentadas no órgão jurisdicional de reenvio não é clara. O órgão jurisdicional de reenvio limita‑se a fazer referência às interpretações divergentes da lei pelas partes e observa que «só ocorre roubo de identidade quando dados obtidos ilegalmente são utilizados para simular a identidade da pessoa afetada». Com a quinta questão também não se pede ao Tribunal de Justiça que interprete uma disposição específica do RGPD.

14. Segundo jurisprudência constante do Tribunal de Justiça, as questões relativas à interpretação do direito da União submetidas por um órgão jurisdicional nacional gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre essas questões quando for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas(5).

15. A exceção de admissibilidade deduzida pela Scalable Capital relativamente a todas as questões prejudiciais assenta na sua interpretação do artigo 82.° do RGPD, no direito de indemnização e na alegada inexistência de danos imateriais. As questões prejudiciais têm por objeto o direito dos titulares dos dados a uma indemnização ao abrigo do artigo 82.° do RGPD. A verificação da existência de um dano constitui uma condição prévia necessária à obtenção dessa indemnização (6). A exceção de admissibilidade deduzida pela Scalable Capital relativa aos pedidos de decisão prejudicial diz, portanto, respeito ao mérito das questões que estes suscitam. Pela sua natureza, os argumentos relativos ao mérito das questões suscitadas num pedido de decisão prejudicial não podem afetar a admissibilidade desse pedido (7).

16. Relativamente à exceção de admissibilidade deduzida pela Comissão quanto à quinta questão, não é manifesto que esta questão não tenha nenhuma relação com as ações intentadas no órgão jurisdicional de reenvio, nem que seja hipotética. O órgão jurisdicional de reenvio é chamado a pronunciar‑se sobre ações de indemnização nos termos do RGPD. As partes não estão de acordo sobre a questão de saber se o roubo de dados pessoais constitui o roubo da identidade a que se refere o considerando 75 do RGPD ou se, para que ocorra um roubo da identidade, «o infrator deve ter efetivamente assumido a identidade das pessoas afetadas» (8). Embora as observações do órgão jurisdicional de reenvio sobre a sua quinta questão sejam sucintas, os pedidos de decisão prejudicial revelam que esta questão está ligada às outras quatro questões que colocou sobre o conceito de danos imateriais e o direito de indemnização nos termos do artigo 82.° do RGPD.

17. Por conseguinte, aconselho o Tribunal de Justiça a rejeitar as várias exceções de admissibilidade deduzidas quanto às questões submetidas pelo Amtsgericht München (Tribunal de Primeira Instância de Munique).

B. Quanto ao mérito

1. Observações das partes

18. Segundo SO, o considerando 85 do RGPD estabelece uma distinção clara entre roubo da identidade e usurpação da identidade. O roubo da identidade pressupõe que o infrator possa utilizar abusivamente a identidade de uma pessoa, induzindo outras pessoas em erro quanto a essa identidade. A usurpação da identidade pode ser cometida na sequência de um roubo da identidade. Daqui resulta que o roubo da identidade não exige a efetiva utilização abusiva da identidade de uma pessoa. A natureza e a extensão dos dados roubados no caso em apreço permitem presumir que ocorreu um roubo da identidade que dá origem a um direito de indemnização a esse título.

19. A Scalable Capital sustenta que ocorre um roubo da identidade quando uma pessoa utiliza abusivamente os dados pessoais de outra pessoa para simular a identidade dessa pessoa. O roubo de certos dados pode resultar no roubo da identidade, ou facilitá‑lo, mas não constitui, em si mesmo, um roubo da identidade. Uma interpretação sistemática do considerando 75 do RGPD apoia esta abordagem, uma vez que os outros exemplos incluídos nesta disposição indicam que a possibilidade de utilizar certos dados pessoais não constitui um roubo da identidade. O artigo 82.° do RGPD tem por objetivo conceder uma indemnização pelos danos efetivamente sofridos pelas pessoas. Uma interpretação extensiva do conceito de roubo da identidade vai contra este objetivo, visto que fundamentaria uma ação de indemnização na possibilidade abstrata de os danos se produzirem no futuro.

20. A Irlanda sustenta que o roubo da identidade diz respeito a circunstâncias em que uma parte assume efetivamente a identidade da pessoa cujos dados foram objeto de apropriação abusiva. Para que se verifique um roubo da identidade, é, portanto, insuficiente que uma parte esteja na posse de dados que identificam uma pessoa. A indemnização por danos imateriais ao abrigo do artigo 82.° do RGPD deve, em todo o caso, ser apreciada em função do mérito de cada caso concreto.

21. A Comissão observa que o RGPD não define roubo da identidade. Os considerandos 75 e 85 do RGPD mencionam o roubo da identidade como um exemplo do tratamento de dados pessoais suscetível de causar danos físicos, materiais ou imateriais. Segundo a Comissão, o roubo da identidade a que se referem estes considerandos é a obtenção ilegal de dados tendo em vista a simulação da identidade da pessoa afetada (9). Para provar um roubo da identidade, a intenção do infrator de se fazer passar pela pessoa afetada deve ser comprovada por referência a ações concretas ou aos respetivos atos preparatórios. Uma vez que constitui jurisprudência constante que o dano deve ser «real e certo» (10), a simples posse de dados que permitem identificar a pessoa afetada, sem que sejam tomadas medidas para que alguém se faça passar por essa pessoa, não constitui um roubo da identidade.

2. Análise

22. Com a sua quinta questão, o órgão jurisdicional de reenvio pretende determinar se o simples roubo de dados pessoais sensíveis de um titular de dados (11) por um infrator desconhecido constitui um roubo da identidade, dando assim origem a um direito de indemnização, ou se, para que tal ocorra, o infrator deve de facto assumir a identidade do titular dos dados ou tomar medidas para esse efeito. Esta questão é colocada no âmbito de uma constatação segundo a qual infratores desconhecidos roubaram alguns dos dados pessoais sensíveis de JU e de SO da aplicação de negociação da Scalable Capital. Embora não pareça ter havido qualquer outra utilização (abusiva) dos dados, uma vez que a identidade dos infratores não é conhecida e ainda não foram detidos, não é possível excluir essa utilização (abusiva) futura.

23. O artigo 82.° do RGPD confirma, em termos gerais (12), o direito de qualquer titular de dados que tenha sofrido «danos materiais ou imateriais» devido a uma violação do RGPD a uma indemnização e procede à repartição de responsabilidade entre o(s) responsável(eis) pelo tratamento e/ou o(s) subcontratante(s). Esta disposição não identifica nem a natureza concreta nem a forma desse dano. O RGPD não remete para o direito dos Estados‑Membros para definir o sentido e o alcance do conceito de «danos imateriais» (13). Por conseguinte, este conceito deve ser tratado como um conceito autónomo do direito da União e ser objeto de uma interpretação uniforme em todos os Estados‑Membros (14).

24. A indemnização ao abrigo do artigo 82.° do RGPD é devida com base na prova de uma violação do RGPD, de um «dano concreto sofrido» e de um nexo de causalidade entre essa violação e esse dano (15). O RGPD não institui um regime de responsabilidade objetiva (16). A natureza ressarcitória que o regime do artigo 82.°, n.° 1, do RGPD instaurou também exclui a atribuição de uma indemnização de natureza punitiva (17). Essa indemnização deve ser integral e efetiva, exigindo assim que «permit[a] compensar integralmente o dano concretamente sofrido por violação [do RGPD]» (18). O dano imaterial sofrido pelo titular dos dados não tem de atingir um certo grau de gravidade (19). Embora não exista um limiar de minimis no que respeita ao nível dos danos imateriais, devem existir provas claras e precisas de que o titular dos dados sofreu esses danos. Um dano potencial ou hipotético (20), ou uma simples inquietação associada ao roubo dos dados pessoais de alguém, são insuficientes.

25. O artigo 82.°, n.° 3, do RGPD isenta o responsável pelo tratamento ou o subcontratante de responsabilidade «se provar que não é de modo algum responsável pelo evento que deu origem aos danos.» O Tribunal de Justiça não teve oportunidade de examinar pormenorizadamente o artigo 82.°, n.° 3, do RGPD. Uma interpretação literal desta disposição parece considerar que qualquer negligência ou falha (concorrente) por parte do responsável pelo tratamento ou do subcontratante é suficiente para excluir a aplicação da isenção. Além disso, o ónus da prova (21) que esta disposição impõe ao(s) responsável(eis) pelo tratamento ou ao(s) subcontratante(s) que pretendam beneficiar da isenção pode exigir a aplicação de medidas contínuas destinadas a prevenir violações de dados (22).

26. O roubo de dados pessoais de um titular de dados dá origem a um direito de indemnização por danos imateriais ao abrigo do artigo 82.°, n.° 1, do RGPD, quando estiverem preenchidas as três condições estabelecidas no Acórdão Österreichische Post (23). De acordo com o considerando 7 do RGPD, «[a]s pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais.» O facto de os titulares dos dados ficarem «impedidos do exercício do controlo sobre os respetivos dados pessoais» (24) ou de as pessoas singulares perderem o «controlo sobre os seus dados pessoais» (25) pode dar origem a danos imateriais. É neste contexto que o órgão jurisdicional de reenvio se interroga sobre a questão de saber se o roubo de dados pessoais constitui um roubo da identidade.

27. O dispositivo do RGPD não refere nem define roubo da identidade. Os considerandos 75 e 85 do RGPD referem‑se simplesmente ao «roubo ou usurpação da identidade». O considerando 75 menciona a «usurpação ou roubo da identidade» como um dos exemplos de uma lista não exaustiva (26)de riscos para o exercício dos direitos e liberdades das pessoas singulares devido ao tratamento dos seus dados pessoais. Do mesmo modo, o considerando 85 do RGPD faz uma referência ao «roubo ou usurpação da identidade» como um exemplo (27)de danos resultantes da falta de adoção de medidas adequadas e oportunas em caso de violação de dados pessoais (28).

28. Vários considerandos (29) e disposições (30) de outra legislação da União fazem referência a conceitos como «roubo de identidade» (31), «usurpação de identidade» e «roubo ou usurpação da identidade» (32). Não encontrei nenhuma disposição da legislação da União que defina estes conceitos (33) Por conseguinte, o legislador da União refere‑se a estes conceitos para fins ilustrativos (34).

29. Tal resulta igualmente da análise das diferentes versões linguísticas destes termos que figuram nos considerandos 75 e 85 do RGPD. As versões linguísticas alemã (Identitätsdiebstahl oder ‑betrug), inglesa (identity theft or fraud), estónia (identiteedivargust või ‑pettust), irlandesa (goid aitheantais nó calaois aitheantais), lituana (būti pavogta ar suklastota tapatybė), neerlandesa (identiteitsdiefstal of ‑fraude), polaca (kradzieżthe tożsamości lub oszustwem dotyczącym tożsamości), romena (furt sau fraudă a identității) e eslovaca (krádeži totožnosti alebo podvodu) são muito semelhantes, ao passo que as outras versões linguísticas destas se afastam em diferentes graus: checa (krádeži či zneužití identity), francesa (vol ou une usurpation d’identité), grega (κατάχρηση ή υποκλοπή ταυτότητας), portuguesa (usurpação ou roubo da identidade), italiana (furto o usurpazione d’identità) e espanhola (usurpación de identidad o fraude). As várias versões linguísticas dos considerandos pertinentes do RGPD indicam que os termos roubo de identidade, fraude de identidade, abuso de identidade, utilização abusiva de identidade, apropriação abusiva de identidade e usurpação de identidade se sobrepõem e podem ser considerados, pelo menos em certa medida, substituíveis entre si. Daqui resulta que os considerandos 75 e 85 do RGPD não estabelecem uma distinção clara entre roubo da identidade e usurpação da identidade, contrariamente ao que sustenta SO, conforme explanado no n.° 18 das presentes conclusões.

30. Os considerandos 75 e 85 do RGPD estabelecem uma distinção entre o exemplo de «perda de controlo» ou de estar impedido do «exercício do controlo» sobre os dados pessoais e o exemplo de «roubo ou usurpação da identidade». Consequentemente, o roubo de dados pessoais (35) por si só não constitui roubo da identidade, mesmo que esse roubo possa resultar numa utilização (abusiva) futura desses dados. O roubo da identidade exige uma ação ou medida adicional com efeitos adversos para o titular dos dados que vão além do roubo de dados pessoais (36). Uma pessoa que roube os dados pessoais de um titular de dados deve utilizar (abusivamente) ou tomar medidas concretas para os utilizar (abusivamente) para fins ilícitos sem o consentimento dessa pessoa (37). Essa ação implica normalmente uma fraude ou outra forma de engano e é geralmente praticada para fins financeiros ou outros, ou com vista a prejudicar o titular dos dados ou as pessoas do seu círculo (38).

31. Resulta do exposto que, apesar de o roubo de dados pessoais não constituir um roubo ou usurpação da identidade, esse roubo pode dar origem a um dano imaterial e a um direito de indemnização ao abrigo do artigo 82.°, n.° 1, do RGPD (39). A prova de um dano imaterial pode ser mais fácil de produzir sempre que se verifique que um titular dos dados foi vítima de roubo ou usurpação da identidade em resultado do roubo dos seus dados pessoais (40). Contudo, um direito de indemnização por danos imateriais ao abrigo do artigo 82.°, n.° 1, do RGPD pelo roubo de dados pessoais não depende da existência de um roubo ou usurpação da identidade (41). Os danos imateriais e o direito de indemnização ao abrigo do artigo 82.°, n.° 1, do RGPD devem ser apreciados casuisticamente, tendo em conta todas as circunstâncias pertinentes.

VI. Conclusão

32. Tendo em conta as considerações acima expostas, proponho que o Tribunal de Justiça responda à quinta questão prejudicial submetida pelo Amtsgericht München (Tribunal de Primeira Instância de Munique, Alemanha) do seguinte modo:

O artigo 82.°, n.° 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que

o roubo, por um infrator desconhecido, de dados pessoais sensíveis de um titular de dados pode dar origem a um direito de indemnização por danos imateriais mediante prova de uma violação do Regulamento Geral sobre a Proteção de Dados, do dano concreto sofrido e de um nexo de causalidade entre o dano e essa violação. A atribuição dessa indemnização não exige que o infrator assuma a identidade do titular dos dados, e a posse de dados que identifiquem o titular dos dados também não constitui, em si mesma, um roubo da identidade.

1 Língua original: inglês.

2 O órgão jurisdicional de reenvio não fornece uma qualificação jurídica precisa das ações dos infratores ao abrigo do direito nacional. O conceito de «roubo» é amplo e pode incluir a apropriação abusiva de dados por terceiros.

3 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1) (a seguir «RGPD»).

4 Os despachos de reenvio mencionam igualmente que «sendo a conta de investimento gerida por um consultor robô, a atitude da demandada em relação ao risco não resultava da negociação».

5 V., neste sentido, Acórdão de 2 de setembro de 2021, OTP Jelzálogbank e o. (C‑932/19, EU:C:2021:673, n.° 26 e jurisprudência referida).

6 O Tribunal de Justiça interpretou o artigo 82.° do RGPD no sentido de que a existência de um «dano» ou de um «[prejuízo]» que foi «sofrido» constitui uma das três condições que devem estar preenchidas para obter uma indemnização ao abrigo deste artigo. Uma violação do RGPD não confere, em si mesma, um direito de indemnização. Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial resultante de um tratamento ilícito de dados) (C‑300/21, EU:C:2023:370, n.^os 32 e 42) (a seguir «Acórdão Österreichische Post»).

7 V., por analogia, Acórdão de 12 de dezembro de 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, n.° 29).

8 V. texto da quinta questão do órgão jurisdicional de reenvio.

9 V. Comité Europeu para a Proteção de Dados, Orientações 01/2021 sobre os exemplos da notificação de uma violação de dados pessoais, adotadas em 14 de dezembro de 2021, versão 2.0. disponível em https://edpb.europa.eu/system/files/2022‑09/edpb_guidelines_012021_pdbnotification_adopted_pt.pdf (europa.eu) ( a seguir «Orientações de 2021»).

10 Acórdão de 4 de abril de 2017, Provedor de Justiça Europeu/Staelen (C‑337/15 P, EU:C:2017:256, n.^os 91 a 95 e 127 a 131).

11 O artigo 4.°, n.° 1, do RGPD estabelece que se «[entende] por» «“Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».

12 V. considerando 146 do RGPD.

13 O Tribunal de Justiça não definiu o conceito de «danos imateriais» no âmbito do artigo 82.° do RGPD. Concordo com o advogado‑geral G. Pitruzzella que o descontentamento ou desconforto pelo facto de os dados de alguém terem sido objeto de «hacking» não é suficiente. Para obter ganho de causa, o titular dos dados deve demonstrar que o receio de utilização abusiva dos seus dados lhe causou um «dano emocional». V. Conclusões do advogado‑geral G. Pitruzzella no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, n.^os 81 a 83).

14 Acórdão Österreichische Post, n.° 30.

15 V. artigo 82.°, n.° 2, do RGPD e Acórdão Österreichische Post, n.^os 32 e 50.

16 Acórdão Österreichische Post, n.^os 33 e 34. V., também, Conclusões do advogado‑geral G. Pitruzzella no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, n.° 61).

17 Acórdão Österreichische Post, n.° 58. V.,também, Conclusões do advogado‑geral M. Campos Sánchez‑Bordona no processo Österreichische Post (Dano imaterial resultante de um tratamento ilícito de dados) (C‑300/21, EU:C:2022:756, n.^os 27 a 55) e do advogado‑geral G. Pitruzzella no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, n.° 74).

18 Acórdão Österreichische Post, n.° 58.

19 Acórdão Österreichische Post, n.^os 31 a 33, 51 e 58. V., também, considerando 146 do RGPD. V., em contrapartida, Conclusões do advogado‑geral M. Campos Sánchez‑Bordona no processo Österreichische Post (Dano imaterial resultante de um tratamento ilícito de dados) (C‑300/21, EU:C:2022:756, n.° 105), e do advogado‑geral G. Pitruzzella no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, n.° 78).

20 V., neste sentido, Acórdão Österreichische Post, n.° 37.

21 Parece que, para serem abrangidos pelo âmbito de aplicação da isenção, o(s) responsável(eis) pelo tratamento e/ou o(s) subcontratante(s) podem ter de fornecer prova negativa.

22 O advogado‑geral G. Pitruzzella considera que, a fim de evitar a responsabilidade ao abrigo do artigo 82.° do RGPD, os responsáveis pelo tratamento de sistemas de entidades públicas ou privadas responsáveis por uma grande quantidade de dados pessoais devem adotar medidas adequadas para lidar, em particular, com ataques externos: v. as suas Conclusões no processo Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, n.^os 65 a 67). Tais medidas proativas podem ser onerosas e dispendiosas. O próprio artigo 82.° do RGPD impõe um dever de diligência muito elevado aos responsáveis pelo tratamento e aos subcontratantes.

23 V. n.^os 32 e 50 deste acórdão. V., também n.° 24 e nota 6 das presentes conclusões.

24 Considerando 75 do RGPD.

25 Considerando 85 do RGPD.

26 Isto resulta claramente da utilização dos termos «poderá», «suscetíveis de» e «em especial» que figuram neste considerando.

27 Isto resulta claramente da utilização dos termos «pode» e «como» que figuram neste considerando. V., por analogia, Acórdão de 22 de dezembro de 2008, Wallentin‑Hermann (C‑549/07, EU:C:2008:771, n.° 22).

28 O artigo 4.°, n.° 12, do RGPD define «violação de dados pessoais» como «uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento».

29 Os considerandos facilitam a interpretação e a compreensão da legislação da União, indicando, nomeadamente, os objetivos que esta prossegue e o contexto em que foi adotada. Contribuem para determinar o sentido de disposições legislativas ambíguas. Os considerandos não podem ser utilizados para interpretar uma disposição contra legem. Acórdão de 19 de novembro de 1998, Nilsson e o. (C‑162/97, EU:C:1998:554, n.° 54).

30 V., por exemplo, artigo 86.°, alínea e), da Decisão de 2013/490/UE do Conselho e da Comissão, de 22 de julho de 2013, relativa à celebração do Acordo de Estabilização e de Associação entre as Comunidades Europeias e os seus Estados‑Membros, por um lado, e a República da Sérvia, por outro (JO 2013, L 278, p. 14), e artigo 2.°, n.° 2, alínea b), e artigos 21.° e 25.° do Regulamento (UE) 2019/817 do Parlamento Europeu e do Conselho, de 20 de maio de 2019, relativo à criação de um regime de interoperabilidade entre os sistemas de informação da UE no domínio das fronteiras e vistos e que altera os Regulamentos (CE) n.° 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 e (UE) 2018/1861 do Parlamento Europeu e do Conselho, e as Decisões 2004/512/CE e 2008/633/JAI do Conselho (JO 2019, L 135, p. 27).

31 O considerando 14 da Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão‑Quadro 2005/222/JAI do Conselho (JO 2013, L 218, p. 8), afirma que «[a] adoção de medidas eficazes contra a usurpação de identidade [“identity theft” na versão em língua inglesa] e outras infrações relacionadas com a identidade constitui outro elemento importante de uma abordagem integrada contra a cibercriminalidade». De acordo com o considerando 31 da Diretiva (UE) 2019/713 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa ao combate à fraude e à contrafação de meios de pagamento que não em numerário e que substitui a Decisão‑Quadro 2001/413/JAI do Conselho (JO 2019, L 123, p. 18), «[a] fraude e a contrafação de meios de pagamento que não em numerário podem ter consequências graves, económicas e não económicas, para as vítimas. Quando a fraude envolve, por exemplo, a usurpação de identidade [“identity theft” na versão em língua inglesa], as suas consequências são frequentemente agravadas devido por danos ao bom nome, danos profissionais, danos ao bom crédito e danos não patrimoniais graves que acarreta». O considerando 33 desta diretiva refere que «[o]s Estados‑Membros deverão adotar medidas de assistência e apoio às referidas vítimas, com base nas medidas previstas nessa diretiva, mas que respondam mais diretamente às necessidades específicas das vítimas de fraude relacionada com a usurpação de identidade [“identity theft” na versão em língua inglesa]».

32 A expressão «usurpação ou roubo da identidade» e «roubo ou usurpação da identidade» é utilizada, sem definição, nos considerandos de outra legislação da União. V., por exemplo, considerando 46 do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.° 45/2001 e a Decisão n.° 1247/2002/CE (JO 2018, L 295, p. 39), e considerandos 51 e 61 da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).

33 O anexo II do Regulamento (UE) 2018/1798 da Comissão, de 21 de novembro de 2018, que aplica o Regulamento (CE) n.° 808/2004 do Parlamento Europeu e do Conselho relativo às estatísticas comunitárias sobre a sociedade da informação para o ano de referência de 2019 (JO 2018, L 296, p. 2), contém alguns exemplos de usurpação de identidade. Trata‑se, nomeadamente, de «roubo de dados pessoais do respondente e utilização para fazer compras em seu nome» como exemplo de «usurpação de identidade online».

34 V., em contrapartida, artigo 226‑4‑1 do Code pénal français (Código Penal francês) [alterado pela LOI n°2020‑936 du 30 juillet 2020 (Lei n.° 2020‑936, de 30 de julho de 2020) — artigo 19.°], que prevê o seguinte: «O furto da identidade de outra pessoa ou a utilização de um ou mais dados de qualquer natureza que permitam identificar essa pessoa a fim de perturbar a sua tranquilidade ou a de outras pessoas, ou de prejudicar a sua honra ou a sua reputação, é punido com pena de prisão de um ano e multa de 15 000 €. Aplicam‑se as mesmas penas quando a infração é cometida numa rede de comunicações pública em linha. Quando forem cometidos pelo cônjuge ou companheiro da vítima ou por um parceiro vinculado à vítima por um pacte civil de solidarité (união de facto), esses atos são punidos com pena de prisão de dois anos e multa de 30 000 euros.» A section 1028A(a)(1) do título 18 do U.S. Code (Código dos Estados Unidos) prevê o crime federal americano de usurpação de identidade agravada. Estabelece que «quem, durante e no âmbito de qualquer infração criminal grave enumerada na alínea c), transferir, possuir ou utilizar conscientemente, sem poderes legais, um meio de identificação de outra pessoa é condenado, além da pena prevista para este crime grave, a uma pena de prisão de 2 anos». V., também, section 1028(a)(7) do título 18 do U.S. Code (Código dos Estados Unidos), que prevê o crime federal americano de usurpação de identidade.

35 E a perda de controlo daí resultante sobre os dados pessoais roubados.

36 O roubo da identidade exige que o infrator apresente indevidamente o titular dos dados, por exemplo, assumindo a sua identidade ou fazendo‑se passar pelo titular dos dados.

37 Contrariamente ao que sustenta SO, conforme se explana no n.° 18 das presentes conclusões, na falta de uma utilização (abusiva) dos dados roubados ou de medidas concretas para esse efeito, a natureza e a extensão desses dados não dão origem a uma presunção de roubo da identidade.

38 Relativamente a exemplos de roubo da identidade, v. Agência da União Europeia para a Cibersegurança — Identity Theft — ENISA Threat Landscape — From January 2019 to April 2020 (Panorama da Ameaça da ENISA de janeiro de 2019 a abril de 2020), disponível em https://www.enisa.europa.eu/publications/enisa‑threat‑landscape‑2020‑identity‑theft; secção 7.1 das Orientações de 2021, disponível em edpb_guidelines_012021_pdbnotification_adopted_pt.pdf (europa.eu) e Comité Europeu para a Proteção de Dados; Guidelines 01/2022 on data subject rights – Right of access – Version 1.0 – Adopted on 18 January 2022 (Orientações 01/2022 relativas aos direitos dos titulares de dados — Direito de acesso, versão 1.0, adotadas em 18 de janeiro de 2022), n.° 105, disponível em https://edpb.europa.eu/system/files/2022‑01/edpb_guidelines_012022_right‑of‑access_0.pdf.

39 Quando estiverem preenchidas as três condições descritas no n.° 24 das presentes conclusões.

40 Nas suas Conclusões no processo Österreichische Post (Danos imateriais resultantes de um tratamento ilícito de dados) (C‑300/21, EU:C:2022:756, n.^os 98 e 99), o advogado‑geral M. Campos Sánchez‑Bordona indicou que os exemplos de riscos ou de danos que figuram nos considerandos 75 e 85 do RGPD podem ser «importantes» ou de «caráter mais grave». Na prática, a existência de roubo ou usurpação da identidade contribuirá para demonstrar a existência de danos.

41 Tal decorre do facto de a «usurpação ou roubo da identidade» figurar nos considerandos 75 e 85 do RGPD juntamente com outros exemplos de riscos ou danos, como a «discriminação», «perdas financeiras» e «prejuízos para a reputação».