Em 07.12.2020 (citado em 28.12.2020), o Tribunal Regional Superior (Oberlandesgericht Wien, OLG) proferiu a sua decisão no processo de recurso. Schrems v Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Confirmando a decisão do Tribunal Regional para Assuntos Civis (Landesgericht für Zivilrechtssachen), o Tribunal considerou que a plataforma de comunicação social tinha o dever de facultar ao queixoso o pleno acesso aos dados que lhe dizem respeito, exigindo assim que a sociedade pagasse uma indemnização de 500 euros (artigo 82 GDPR).

No entanto, também concluiu que o acto de processamento de dados não exige que a plataforma obtenha um consentimento inequívoco e separado dos seus utilizadores, nos termos da lei de protecção de dados da UE (artigo 6(1)(a) GDPR), mas que esse direito de utilização de dados é inerentemente concedido ao Facebook, em virtude dos seus termos e condições contratuais.

A decisão centra-se numa série de queixas legais e dá origem a três questões distintas que são destacadas abaixo.

Atribuição de funções partidárias ao abrigo da Lei de Protecção de Dados

Peticionário

• De acordo com o Autor, o utilizador da plataforma é considerado o responsável ou "controlador" (artigo 4(7) GDPR) no que diz respeito às aplicações de dados operadas por ele próprio para os seus fins pessoais;
• O Réu por contrato age como 'processador' impedindo-o de realizar quaisquer pedidos de dados sem ou contrariamente às instruções do Autor;
• Não foi celebrado um contrato que cumpra os requisitos do artigo 28(3) GDPR, embora o queixoso tenha direito a tal acordo.

Demandado

• O Réu deve ser considerado como a única parte responsável em relação ao Autor, que não tem interesse em obter a reparação declarativa.

OLG (pp 21-23)

• A mera utilização de uma plataforma de rede social não torna um utilizador co-responsável pelo tratamento de dados pessoais efectuado por essa rede;
• Deve ser feita uma diferenciação em relação às páginas de fãs, em que o operador da referida página contribui para o processamento dos dados pessoais dos visitantes, tornando-o um controlador (ECJ C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 e 41).
• Um usuário do Facebook é, portanto, apenas um co-responsável em relação aos dados pessoais de terceiros (artigo 4(7) GDPR) e apenas um titular dos dados em relação aos seus próprios dados pessoais.

Consentimento Efetivo para o Processamento de Dados Pessoais

Peticionário

• O consentimento aos termos de uso da plataforma de mídia social e às diretrizes de uso de dados associados não dá origem a um consentimento efetivo na acepção dos artigos 6(1) e 7 GDPR;
• Ao contrário das disposições da GDPR, que entraram em vigor a partir de 25.05.2018, os contratos de direito civil regidos pela lei anterior de protecção de dados não previam requisitos explícitos de "consentimento";
• Ao integrar o consentimento prévio nos termos e condições da corporação antes da entrada em vigor da GDPR, os usuários foram inadvertidamente forçados a um novo contrato, o que permitiu à plataforma contornar os padrões mais rigorosos de proteção de dados sob as atuais disposições da GDPR;
• Como tal, nenhum consentimento efectivo no sentido da GDPR tinha sido dado pelo Autor quanto ao processamento de dados efectuado pelo Réu.

Demandado

• O processamento de dados efectuado pela plataforma estava em conformidade com o disposto no artigo 6.º, n.º 1, alínea b), da GDPR, uma vez que constituía uma parte necessária do desempenho contratual.

OLG (pp 23-24)

• A GDPR permite diferentes bases para o tratamento de dados pessoais, entre outras coisas, se necessário para a execução de um contrato no qual a pessoa em causa é parte (artigo 6(1)(b) GDPR);
• A necessidade é determinada caso a caso, tendo devidamente em conta a finalidade contratual e as obrigações decorrentes do conteúdo do contrato;
• A essência do modelo de negócio do Facebook e a sua finalidade contratual está centrada:
  • Para o utilizador: obter acesso à plataforma de comunicação personalizada;
  • Para plataforma: para disponibilizar o acesso sem custos adicionais;
• Como tal, a empresa que opera a plataforma pode recorrer a outras fontes de financiamento, por exemplo, publicidade personalizada para o utilizador específico;
• O processamento dos dados pessoais dos utilizadores demonstra um pilar fundamental de suporte do acordo entre plataforma e utilizador, pois é a base que permite que a publicidade seja adaptada aos interesses do utilizador individual;
• A componente de necessidade em relação ao processamento de dados é estabelecida na medida em que a utilização de tais informações molda a experiência individualizada dos utilizadores, por um lado, e constitui também um canal financeiro através do qual a plataforma obtém o seu lucro.

Pedido de Fornecimento de Informações

Peticionário

• Um pedido de informação tinha sido apresentado, mas não foi respondido de acordo com o Artigo 15 GDPR;
• A disponibilização de informações sobre o uso e processamento de dados (pessoais) apenas parcialmente disponíveis fica aquém dos deveres legais do Réu;
• A incerteza quanto ao processamento de dados induziu angústia emocional que dá ao Autor o direito a danos morais de 500 euros.

Demandado

• O Réu não tinha deixado de cumprir o seu dever;
• Nenhuma alegação conclusiva sobre o pedido de indemnização tinha sido feita pelo queixoso.

OLG (24-29)

• O Facebook não tinha concedido aos seus utilizadores acesso aos dados nas suas ferramentas de acesso, o que dá ao Autor um direito de acção enraizado no Artigo 15(1) GDPR;
• O Autor tem direito às informações pertinentes:
  • Os dados pessoais que estão a ser processados pelo Facebook e as suas finalidades (Artigo 15(1)(a) GDPR);
  • A quem são divulgados os respectivos dados pessoais, ou seja, (categorias) de destinatários (artigo 15(1)(b) GDPR);
  • A origem dos dados se não forem recolhidos do Autor (Artigo 15(1)(g) GDPR);
• O montante de 500 euros é o reflexo da pequena extensão do desconforto sofrido pela queixosa e prova ser justificado.

Comente

Em consonância com as alegações do Autor, a Agência Europeia para a Protecção de Dados proibiu expressamente o tratamento de categorias especiais de dados pessoais, a menos que seja dado consentimento expresso ou que tal tratamento seja necessário por razões de considerável interesse público (alínea g) do n.o 2 do artigo 9.o da GDPR). Embora as cláusulas contratuais sobre a utilização de dados pudessem ainda ser utilizadas para a transferência de dados, não seriam suficientes para substituir a necessidade de tal consentimento.²

Embora a OLG tenha concedido um direito de recurso ao Supremo Tribunal Austríaco, espera-se que as questões legais levantadas sejam novamente levadas ao Tribunal de Justiça da União Europeia no devido tempo.

Notas de rodapé

1 Julgamento disponível em alemão via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen". Europäischer Datenschutzausschuss - Conselho Europeu para a Protecção de Dados. Disponível em: edpb.europa.eu/newss/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [acedido em 05.02.2021].

O conteúdo deste artigo destina-se a fornecer um guia geral sobre o assunto. Deve ser procurado aconselhamento especializado sobre as suas circunstâncias específicas.