Introdução à notificação de proteção de dados
A notificação de proteção de dados é um instrumento central no direito de proteção de dados para fazer cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD). Desde que o RGPD entrou em vigor em 2018, empresas e organizações são obrigadas a exercer o maior cuidado ao processar dados pessoais. Em caso de violação destas regras – por exemplo, através de informação insuficiente aos utilizadores ou processamento de dados não autorizado – pode ser emitida uma notificação. Esta notificação pode ser iniciada não apenas pelas autoridades de proteção de dados, mas também por concorrentes, associações de defesa do consumidor ou até mesmo pelas próprias pessoas afetadas. O objetivo de uma notificação de proteção de dados é levar a empresa a cessar a violação de proteção de dados e a cumprir com os direitos de proteção de dados. Para as empresas, isso significa que devem revisar e ajustar regularmente seus processos e o manuseio de dados pessoais para evitar notificações e possíveis ações judiciais subsequentes.
Fundamentos legais
As bases legais para notificações na área de proteção de dados encontram-se principalmente no RGPD e na Lei Contra a Concorrência Desleal (UWG). O RGPD regula em detalhes como os dados pessoais podem ser coletados, armazenados e processados. Violações dessas disposições – como processamento não autorizado ou falta de transparência – podem ser perseguidas não apenas pelas autoridades de proteção de dados, mas também no âmbito do direito da concorrência. A UWG protege a concorrência contra práticas comerciais desleais e prevê que uma violação de proteção de dados também pode ser considerada uma violação da UWG se uma empresa obter uma vantagem desleal com isso. Desta forma, notificações devido a violações de proteção de dados podem ser emitidas com base tanto no RGPD quanto na UWG. As empresas devem, portanto, garantir que cumprem estritamente as disposições legais para o processamento de dados pessoais, a fim de evitar notificações e outras consequências legais.
Concorrentes podem notificar – Decisões do BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Concorrentes e associações de defesa do consumidor podem notificar empresas por violações de proteção de dados; nessa questão, o tribunal desempenha um papel central na decisão sobre notificações de violações de proteção de dados. O Supremo Tribunal de Justiça da Alemanha decidiu isso em várias sentenças de 27 de março de 2025 (números de processos I ZR 186/17, I ZR 222/19, I ZR 223/19). Diversos tribunais decidiram de forma diferente sobre a competência de notificação em casos de violações de proteção de dados no passado. A multiplicidade de casos de violações de proteção de dados mostra a relevância prática deste tema. A decisão atual do BGH esclarece que também concorrentes e associações de consumidores podem atuar ativamente. As decisões do BGH de março de 2025 são de grande importância para a prática de notificações, pois permitem a perseguição de violações de proteção de dados por associações de consumidores e concorrentes em tribunais civis. Uma notificação com base no RGPD é uma forma específica de notificação que se refere a violações ao Regulamento Geral sobre a Proteção de Dados e difere de outras notificações por seu contexto de proteção de dados. A central de consumidores desempenha um papel importante na implementação dos direitos de proteção de dados. Associações de consumidores estão significativamente envolvidas na notificação de violações de proteção de dados. Concorrentes também podem perseguir violações de proteção de dados e assim proteger a concorrência. A sentença do BGH tem impactos significativos sobre a prática e a avaliação jurídica de violações de proteção de dados.
Violações de proteção de dados podem não apenas ser sancionadas por autoridades de supervisão. A competência decisória dos tribunais em casos de violações de proteção de dados é de importância central. Como mostram as decisões do BGH, também concorrentes e associações de defesa do consumidor podem atuar contra as violações. No âmbito de tais processos, a parte ré também desempenha um papel importante. Para as empresas, isso pode ter consequências consideráveis, especialmente no comércio online e no processamento de dados sensíveis, observa a consultoria empresarial MTR Legal, que, entre outros, aconselha em direito de TI e proteção de dados. Violações ao RGPD podem levar a consequências legais significativas, especialmente quando são reivindicadas demandas por abstenção. Em caso de violação repetida do RGPD, sanções mais severas e outras medidas são iminentes. A perseguição de violações de proteção de dados é realizada tanto por tribunais quanto por associações. A importância da frase 1 e da frase 1 número nos parágrafos relevantes é decisiva para a classificação legal. A questão tem grande importância para o desenvolvimento do direito de proteção de dados e a implementação dos direitos dos consumidores.
Aplicativo de jogos publica dados
No caso do número de processo I ZR 186/17, tratava-se de um chamado “App-Center” em uma rede social, onde terceiros ofereciam jogos. O centro de aplicativos serve como uma plataforma central onde são oferecidos diversos aplicativos de terceiros. No centro de aplicativos, os jogos online desempenham um papel significativo, pois constituem uma grande parte da oferta. Ao usar o aplicativo, dados pessoais, como seu endereço de e-mail, podem ser processados. Antes de um usuário iniciar um jogo, era informado de que o aplicativo receberia certas permissões, por exemplo, para postar atualizações de status. No entanto, esses avisos eram vagos e não informavam sobre quais dados específicos eram processados, quem eram os destinatários e para que propósito isso ocorria. Contra isso, a associação central das centrais de consumidores dos estados federais entrou com ação e obteve sucesso.
O BGH esclareceu que tal informação vaga e genérica não atende aos requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD). Já na coleta dos dados pelo aplicativo, os usuários devem ser completamente informados. Também o escopo dos dados coletados e processados deve ser apresentado de forma transparente. A formulação legalmente segura dos propósitos de uso na declaração de proteção de dados é de particular importância. As obrigações de informação nos Artigos 12 e 13 do RGPD exigem uma notificação clara, precisa e compreensível das pessoas afetadas. Como estas exigências do RGPD também regulam o comportamento de mercado no sentido do direito da concorrência (§ 3a UWG), a desconsideração constitui uma violação da concorrência. Concorrentes ou associações de defesa do consumidor qualificadas podem, portanto, proceder civilmente contra tais violações de proteção de dados, de acordo com o BGH. Isso aplica-se independentemente de um usuário ter se queixado.
Farmacêuticos vendem medicamentos na internet
Questões semelhantes foram tratadas nos processos de números I ZR 222/19 e I ZR 223/19. Aqui, duas farmácias venderam medicamentos através da plataforma Amazon. Durante isso, dados pessoais dos clientes, incluindo dados de saúde, foram processados, como nome, endereço ou medicamentos encomendados com informações sobre sua individualização. A coleta desses dados de saúde pelas farmácias foi o ponto central dos processos. Houve inúmeros casos de violações de proteção de dados na área farmacêutica que se tornaram relevantes nesse contexto. Outros farmacêuticos também apresentaram ações contra isso. Estas demandas também tiveram sucesso: o BGH deixou claro que os dados das encomendas, no sentido do Art. 9, parágrafo 1 do RGPD, constituem dados de saúde. Isso aplica-se mesmo que os medicamentos não sejam sujeitos a prescrição médica. Os dados só podem ser processados se houver consentimento explícito dos clientes, o qual os farmacêuticos não tinham obtido.
O BGH confirmou a avaliação do Tribunal de Justiça da União Europeia de que dados de saúde já estão presentes quando a encomenda permite inferências sobre o estado de saúde ou medicação. Nos processos, o réu desempenhou um papel central, pois era responsável pelo processamento dos dados. Foi enfatizado especialmente a importância da proteção da pessoa afetada no processamento de dados de saúde. Aqui também, o BGH viu uma violação da concorrência. O Artigo 9, parágrafo 1 do RGPD é uma regra de comportamento de mercado no sentido do § 3a UWG, de modo que a violação desta disposição pode ser perseguida por um concorrente através de uma ação judicial de concorrência nos tribunais civis, disseram os juízes de Karlsruhe. A importância da frase 1 e da frase 1 número nos parágrafos relevantes foi expressamente destacada.
RGPD também relevante para concorrência
As decisões mostram que as disposições do RGPD – e aqui especialmente as obrigações de informação e as normas de consentimento – também são relevantes para a concorrência. Em determinadas circunstâncias, os lucros obtidos através de violações de proteção de dados podem ser recusados; isso está associado a multas e outras medidas penais que podem ser impostas de acordo com as especificações do Regulamento Geral sobre a Proteção de Dados e da lei. Empresas que processam dados pessoais ou sensíveis sem informação suficiente ou sem consentimento válido agem de maneira desleal. Não apenas as autoridades de proteção de dados, mas também concorrentes ou associações de interesse qualificadas podem atuar contra tais violações. Com isso, o BGH ampliou significativamente o escopo de aplicação do direito da concorrência. Empresas que violam os regulamentos de proteção de dados podem enfrentar, além de multas das autoridades de proteção de dados, notificações custosas e ações de abstenção por parte de concorrentes e associações de defesa do consumidor.
As empresas estão bem aconselhadas
As empresas estão, portanto, bem aconselhadas a examinar e cumprir rigorosamente suas obrigações de informação. Isso inclui informar de forma transparente, compreensível e abrangente os usuários sobre quais dados são processados para que fim, com base em qual fundamento legal isso ocorre, quem são os destinatários e quais direitos possuem as pessoas afetadas. Além disso, antes do processamento de dados sensíveis – como dados de saúde – é necessário obter e documentar um consentimento explícito. Cláusulas genéricas ou ocultas não são suficientes.
Mercados online e proteção de dados
Mercados online como o mercado da Amazon são indispensáveis no comércio eletrônico moderno. No entanto, aqui, o cumprimento da proteção de dados é de particular importância. Os fornecedores que atuam nessas plataformas devem observar os rigorosos requisitos do RGPD ao processar dados de clientes – como nomes, endereços ou dados de pedidos. As decisões do BGH nos processos I ZR 186/17, I ZR 222/19 e I ZR 223/19 deixaram claro que violações do RGPD – como o processamento de dados de saúde sem consentimento explícito dos clientes – podem ter consequências não apenas de proteção de dados, mas também de concorrência. Notificações de concorrentes ou associações de defesa do consumidor são possíveis nesses casos e podem ter consequências significativas para as empresas. As sentenças do Supremo Tribunal de Justiça da Alemanha destacam que o cumprimento da proteção de dados em mercados online não é apenas uma questão de conformidade, mas também de concorrência.
Consequências de uma notificação
Uma notificação de proteção de dados pode ter consequências abrangentes para empresas. Além da obrigação de cessar imediatamente o processamento contestado de dados pessoais, em caso de persistir a violação, ameaçam multas severas ou penalidades. O RGPD prevê isso com valores de até 20 milhões de euros ou 4% da receita anual mundial – dependendo de qual montante for maior. Além disso, uma notificação pode também prejudicar de forma duradoura a reputação de uma empresa, pois uma violação de proteção de dados é vista por clientes e pelo público como uma quebra de confiança grave. Portanto, as empresas devem dar grande importância ao cumprimento das disposições de proteção de dados não só por razões legais, mas também por razões de reputação.
Defesa contra notificações
Para se protegerem eficazmente contra notificações na área de proteção de dados, as empresas devem revisar regularmente suas práticas de proteção de dados e ajustá-las aos requisitos atuais do RGPD. Isso inclui, em particular, a elaboração de uma declaração de proteção de dados transparente e completa, a obtenção de consentimentos explícitos para o processamento de dados sensíveis e a implementação de medidas técnicas e organizacionais para proteger os dados. No caso de uma notificação, é aconselhável reagir rapidamente e obter aconselhamento jurídico para proteger melhor seus interesses. Através de ações proativas e cumprimento rigoroso das disposições de proteção de dados, as empresas podem reduzir significativamente o risco de notificações e outras medidas legais.
A MTR Legal Rechtsanwälte aconselha sobre proteção de dados, RGPD e outros temas do direito de TI.
Por favor, entre em contato conosco!
