Não há execução individual de sanções perante autoridades de supervisão de proteção de dados – Contexto de uma decisão recente do TJUE
Com a decisão de 14 de março de 2024 (Proc. C-768/21), o Tribunal de Justiça da União Europeia (TJUE) esclareceu que as pessoas afetadas não possuem um direito exigível perante uma autoridade de supervisão de proteção de dados para impor uma coima ou outras medidas corretivas contra os responsáveis por uma violação de dados. Esta decisão evidencia o papel e a margem de atuação das autoridades de supervisão e tem consequências de grande alcance para a tutela judicial dos afetados.
Enquadramento legal e a missão das autoridades de supervisão
A Estrutura do Regulamento Geral de Proteção de Dados
O Regulamento Geral de Proteção de Dados (RGPD), como principal norma do direito europeu de proteção de dados, prevê um sistema escalonado de sanções e medidas corretivas para infrações às obrigações legais. A competência para a sua aplicação cabe primariamente às autoridades nacionais de supervisão de proteção de dados. Nos termos dos Art. 57 e seguintes do RGPD, as autoridades são obrigadas a examinar reclamações, apurar os fatos e tomar medidas adequadas de forma autônoma em caso de infrações comprovadas.
Função como “guardião” do direito de proteção de dados
O papel das autoridades de supervisão não se limita à mera execução da lei em casos individuais. Elas exercem uma função independente, mediando entre os afetados e os responsáveis e assegurando o cumprimento da legislação de proteção de dados. O exercício das suas atribuições é caracterizado por margens de discricionariedade processual que permitem uma resposta adequada consoante a situação e o tipo de infração.
Nota: Não há direito individual a sanções ou medidas corretivas
Motivação e decisão do TJUE
A decisão teve origem num caso em que uma pessoa afetada exigiu a aplicação de uma coima a um responsável pelo tratamento de dados. Embora a autoridade de supervisão tenha instaurado uma investigação, não aplicou qualquer sanção. Segundo o entendimento do TJUE, a autoridade não está vinculada às exigências individuais ao selecionar e avaliar as medidas a adotar.
O cerne da decisão é que, embora os afetados tenham direito a um tratamento eficaz das reclamações e a serem informados sobre o resultado, não podem reivindicar especificamente uma determinada medida – como uma coima. A escolha e intensidade de eventuais sanções são da livre discricionariedade da autoridade.
Justificação do tribunal
Os juízes enfatizaram que as disposições sancionatórias do RGPD protegem, em primeiro lugar, interesses públicos e não regulam primordialmente direitos individuais de indemnização ou satisfação. Verificada uma violação de dados, a autoridade é obrigada a adotar as medidas adequadas no âmbito da sua discricionariedade. A decisão sobre o tipo e o montante da sanção é tomada de forma independente das pretensões da pessoa afetada.
Consequências para a tutela judicial dos afetados
Direitos da pessoa afetada
As pessoas afetadas continuam podendo apresentar reclamações e exigir a realização de investigações aprofundadas. Em caso de reclamação, a autoridade de supervisão competente é obrigada a averiguar o caso de forma objetiva e a comunicar o resultado. Contudo, não existe um direito exigível à aplicação de uma sanção específica. Caso a pessoa afetada pretenda agir mais amplamente contra o responsável, permanece aberta a via do pedido de indemnização civil, o qual, porém, deve ser interposto separadamente.
Importância para a prática
Para empresas, entidades públicas e outros operadores de dados, a decisão traz mais segurança jurídica no tratamento de pedidos e reclamações de pessoas afetadas. No âmbito da compliance interna e dos processos regulatórios, deve ser observado o espaço de apreciação das autoridades. Já os afetados devem estar cientes de que não podem impor uma sanção ao responsável, estando sujeitos ao critério discricionário da autoridade.
Perspectivas e desenvolvimentos em curso
A decisão evidencia os limites da tutela individual no direito de proteção de dados europeu. O papel das autoridades de supervisão permanece assim reforçado, enquanto a cobrança de direitos individuais à indemnização ou à imposição de coimas continua reservada a normas especiais e processos judiciais distintos. Resta observar como os tribunais e as autoridades nacionais aplicarão a decisão na prática e em que medida poderá ser identificado eventual necessidade de ajustamento nos processos de reclamação.
Se tiver dúvidas adicionais sobre questões de proteção de dados, procedimentos administrativos ou prática sancionatória, os advogados da MTR Legal têm o prazer de assessorá-lo com aconselhamento jurídico sólido e longa experiência na área da proteção de dados.
Fonte:
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
