Numa recente decisão proferida em 26.11.2020,¹ o Tribunal Administrativo Federal Austríaco (BundesverwaltungsgerichtA DPA, BVwG) anulou uma multa de 18 milhões de euros que tinha sido imposta ao Serviço Postal Austríaco (APS) pela autoridade austríaca de protecção de dados (DPA). O processo centra-se nos mesmos factos considerados pela BVwG numa decisão separada.² Aí o Tribunal confirmou a sanção administrativa da DPA contra a APS, que tinha sido acusada de processar e vender ilegalmente dados pessoais de clientes, tais como moradas privadas e supostas lealdades políticas, a terceiros para fins de marketing.

Na decisão em questão, a BVwG reconheceu a natureza ilegal da conduta da APS, mas anulou a pena da DPA, com base na sua omissão em estabelecer que tanto pessoas físicas como jurídicas, agindo em nome da APS, tinham sido responsáveis pela culpabilidade em questão.

Fatos

As origens factuais do caso remontam a um relatório da plataforma de jornalismo Addendum, em janeiro de 2019,³ afirmando que além de informações sobre endereços privados, sexo e idade, educação, assim como preferências em relação a investimentos ou doações, a APS também havia coletado dados sobre a percepção da tendência política de cerca de 3 milhões de clientes.⁴

Após uma investigação ex-officio, a DPA:

• Concluiu que a realização de inquéritos sobre factores sociodemográficos e o tratamento de informações relativas às preferências políticas de um indivíduo sem qualquer base jurídica, se qualifica como uma categoria especial de dados pessoais nos termos do artigo 9(1) Regulamento Geral de Protecção de Dados (Regulamento (UE) 2016/679) (GDPR), necessitando assim da aprovação prévia explícita do interessado (artigo 9(2)(a) GDPR; § 151(4) Gewerbeordnung...GewO);

• Ordenou que o processamento dos dados fosse encerrado e as informações já recolhidas fossem apagadas num prazo de duas semanas;

• Considerou que a APS não realizou uma avaliação adequada do impacto da proteção de dados (antes de 25.05.2018), pois erroneamente não considerou a filiação política como uma categoria especial de dados pessoais.

A APS respondeu por meio de recurso, argumentando que as informações sobre a afinidade política de um particular não se qualificam como dados pessoais, uma vez que tais informações são coletadas através de pesquisas anônimas que fornecem projeções gerais. Como esses cálculos de probabilidade não podem ser retificados (Artigo 16 GDPR), eles são considerados informações de marketing e classificação de acordo com §151(6) GewO. No entanto, foi acrescentado que, mesmo se considerados como dados pessoais, não qualificam como uma categoria especial esta última.

Ainda em Novembro, a BVwG confirmou a decisão da DPA e considerou que a conduta de processamento de dados sobre a afinidade de um partido político se qualificou como dados pessoais de acordo com o Artigo 4(1) GDPR. Dado que a informação obtida pode ser atribuída a um indivíduo privado especificamente identificável, cujas convicções políticas devem ser protegidas de discriminação nos termos do Artigo 9 GDPR, deve ser tratada como uma categoria especial de dados pessoais, exigindo assim o consentimento prévio. Esta parte da decisão está agora pendente perante a Supremo Tribunal Administrativo Austríaco (Verwaltungsgerichtshof, VwGH).

O assunto considerado neste artigo, no entanto, diz respeito a um aspecto jurídico diferente do mesmo caso.

Com base nos factos acima descritos, o caso centra-se na alegada violação dos artigos 5(1), 6(2), 6(4), 9, 14, 30, 35 e 36 GDPR por parte da APS. Segue-se um recurso apresentado pela APS com base no argumento de que a multa tinha sido emitida sem que fosse estabelecida a culpabilidade por parte de pessoas singulares agindo em seu nome (artigo 4(7) GDPR).

O que se segue irá centrar-se na recente decisão da BVwG de revogar a multa da DPA à luz das conclusões anteriores da VwGH. Aí o Tribunal decidiu que o alegado comportamento factual, ilegal e culpável também deve ser atribuído a uma pessoa física (Artigo 44a VStG) para que uma pessoa jurídica seja considerada responsável.⁵

A Questão

Uma vez que a GDPR pretende e de facto prevê a responsabilidade directa das pessoas colectivas sem ter de provar a existência de um erro individual por uma pessoa privada, a BVwG teve de considerar o seguinte:

1. Se a DPA tinha o direito de impor uma multa de acordo com o Artigo 83 GDPR a uma pessoa colectiva na ausência de demonstração de conduta culposa por parte de uma pessoa singular agindo em nome de uma pessoa colectiva;

2. Se as regras nacionais de direito administrativo penal encontram aplicação ou se a questão em análise deve ser examinada à luz das regras do GDPR.

Decisão

O Tribunal decidiu que a multa da DPA, imposta com base nas disposições do Artigo 83 GDPR, é abrangida pelas disposições da Lei Penal Administrativa Austríaca (VerwaltungsstrafgesetzVStG), bem como a lei austríaca de protecção de dados (DatenschutzgesetzDSG). As regras processuais nacionais são aplicáveis no contexto de multas impostas devido a uma violação sob o GDPR, uma vez que o artigo 83(8) estabelece: "O exercício pela autoridade de supervisão dos seus poderes [...] está sujeito a garantias processuais adequadas, em conformidade com a legislação da União e dos Estados-Membros, incluindo um recurso judicial efectivo e um processo equitativo".⁶

Estabeleceu ainda que a DPA não agiu de acordo com §§ 44a, 45 VStG, bem como § 30 DSG, negligenciando a prova de culpabilidade por parte de pessoas singulares, que tinham agido em nome da APS, tais como indivíduos que representavam, exerciam controlo dentro ou tomavam decisões em nome desta última.

Comente

Embora a penalidade imposta à APS possa ter sido anulada pela BVwG, a sua decisão baseia-se num erro de formalidade por parte da DPA. Como tal, deve ser tratada separadamente e não contraria a decisão anterior da BVwG, na qual se concluiu que a conduta de tratamento de dados relativos à afinidade pessoal de um partido político dá origem a responsabilidade.

Notas de rodapé

1 Número de doca: Número da doca W258 2217446-1/14E. Disponível via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Número de doca: Número da doca W258 2217446-1/35E. Disponível via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Adendo28 de Julho de 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [acedido em 10.12.2020].

4 Para mais informações, consulte os comunicados de imprensa do serviço postal austríaco intitulado "Marcos e perspectivas para 2019 e 2020" (29.10.2019), bem como do Conselho Europeu de Protecção de Dados intitulado "Processo penal administrativo da autoridade austríaca de protecção de dados contra a Österreichische Post AG (23.10.2019), disponível via https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Número de documento R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Condições Gerais de Imposição de Multas Administrativas". Regulamento Geral de Protecção de Dados (GDPR), 29 Mar. 2018, gdpr-info.eu/art-83-gdpr/ [acedido em 14.12.2020].

O conteúdo deste artigo destina-se a fornecer um guia geral sobre o assunto. Deve ser procurado aconselhamento especializado sobre as suas circunstâncias específicas.