Pioneira na aprovação de uma rígida legislação de proteção de dados pessoais, a União Europeia segue como fonte rica de exemplos práticos de erros e acertos nessa área –um acervo que beneficia todos os países que estão aperfeiçoando seus regulamentos, inclusive o Brasil. Há poucos, Tribunal de Justiça da União Europeia (TJEU) decidiu, no Processo C 590/22, que a mera violação do Regulamento Geral sobre a Proteção de Dados (RGPD) não é suficiente para garantir uma indenização automática. Para que o titular dos dados tenha direito a uma compensação, é necessário demonstrar a existência de um dano causado pela violação, ainda que esse dano não precise atingir um grau específico de gravidade.
Essa decisão é um marco na interpretação do artigo 82º do RGPD, que aborda a responsabilidade e compensação por danos. O TJEU especificou que, além da violação do regulamento, é imperativo provar a existência de um dano, seja ele material ou moral. Isso significa que não basta alegar que os dados foram comprometidos; é preciso demonstrar como essa violação impactou negativamente o titular dos dados.
Um ponto notável da decisão é a consideração do “receio de divulgação” como fundamento para indenização. O TJEU reconheceu que o medo de que os dados pessoais possam ter sido divulgados a terceiros, pode ser suficiente para justificar uma compensação. No entanto, esse receio deve ser acompanhado de provas das consequências negativas que resultam dessa apreensão. Ou seja: de todo modo, quem aciona a Justiça é que precisa provar o dano –ao contrário do que ocorre frequentemente no Brasil, onde a legislação aplicada é o Código de Defesa do Consumidor e o ônus da prova recai sobre a empresa acusada.
Outro aspecto importante é a determinação do montante da indenização. O tribunal afirmou que não se deve aplicar os critérios de fixação de coimas previstos no artigo 83.º do RGPD para definir a compensação por danos. Além disso, a função dissuasora atribuída às multas não deve ser considerada no contexto das indenizações. Este ponto reforça a ideia de que a compensação deve ser diretamente proporcional ao dano sofrido, sem considerar a necessidade de punir a entidade responsável pela violação.
Essa interpretação do TJEU traz um equilíbrio necessário ao sistema de proteção de dados na Europa. Ela assegura que os titulares de dados não sejam deixados desamparados em casos de violação, mas também evita que as empresas sejam sobrecarregadas com indenizações desproporcionais em situações em que os danos são mínimos ou inexistentes.
A decisão também estipula que as violações concomitantes de disposições nacionais sobre proteção de dados, que não especificam regras do RGPD, não devem influenciar na determinação do montante da indenização. Isso garante uma uniformidade na aplicação das normas europeias, evitando disparidades entre diferentes jurisdições dentro da União Europeia.
Em suma, a decisão do TJEU reflete um esforço contínuo para harmonizar a proteção de dados na União Europeia, equilibrando os direitos dos titulares com as responsabilidades das empresas. Ela destaca a importância de provar o dano para obter compensação, protegendo os titulares de dados de violações, mas também assegurando que as empresas não sejam injustamente penalizadas. Este equilíbrio é crucial para a efetiva implementação e respeito ao RGPD, garantindo a confiança e segurança dos dados pessoais na era digital. Trata-se de uma decisão que pode ter grande impacto no Brasil e na interpretação da nossa Lei Geral de Proteção de Dados (13.709/2018).
Convidado deste artigo
As informações e opiniões formadas neste artigo são de responsabilidade única do autor.
Este texto não reflete, necessariamente, a opinião do Estadão.
Os comentários são exclusivos para assinantes do Estadão.
