Reivindicações de indenização por danos devido a violações do GDPR só existem quando um dano de fato ocorreu. Isso foi decidido pelo TJCE em uma sentença de 4 de maio de 2023 (Proc. C-300/21).
As empresas gerenciam grandes quantidades de dados pessoais sensíveis. Isso impõe grandes exigências à proteção de dados, e violações do Regulamento Geral de Proteção de Dados (GDPR) podem levar a multas elevadas e reivindicações de indenização por danos, explica o escritório de advocacia econômico MTR Legal Rechtsanwälte, que também aconselha seus clientes em direito de TI e proteção de dados.
O Tribunal de Justiça da União Europeia decidiu agora que reivindicações de indenização por danos devido a violações do GDPR só existem quando um dano de fato ocorreu. No entanto, os juízes em Luxemburgo não colocaram o limiar de dano muito alto. A gravidade do dano não é um requisito.
No TJCE, tratava-se de um caso da Áustria. Aqui, um homem havia processado os correios austríacos por dano não material. O motivo era que os correios, com a ajuda de um algoritmo e características sociais e demográficas subjacentes, coletaram informações sobre preferências partidárias. Esses dados não foram publicados, mas eram destinados a campanhas eleitorais dos partidos. Para o homem, isso resultou em uma afinidade com um determinado partido. Isso não agradou ao homem. Ele processou por indenização por danos não materiais de acordo com o Art. 82 GDPR.
O Supremo Tribunal austríaco encaminhou o caso ao TJCE, que decidiu que uma mera violação do GDPR não fundamenta uma reivindicação de indenização por danos. A reivindicação de indenização está condicionada a três requisitos: primeiro, deve haver uma violação do GDPR. Além disso, um dano material ou imaterial deve ter ocorrido e a violação do GDPR deve ser a causa para isso. Portanto, nem toda violação do GDPR resulta automaticamente em reivindicações de indenização.
No entanto, a reivindicação de indenização por danos não materiais não se aplica apenas a uma determinada gravidade. Não existem casos triviais. Critérios para a avaliação do dano não são estabelecidos pelo GDPR, isso é responsabilidade dos estados membros da UE. No entanto, eles devem assegurar que uma indenização completa e eficaz pelo dano sofrido seja garantida, segundo o TJCE.
Ao lidar com dados pessoais, é necessária uma alta diligência, de acordo com a sentença da UE. Advogados experientes em direito de TI aconselham sobre questões de proteção de dados na MTR Legal Rechtsanwälte.
