Áustria: Questões Preliminares Referidas ao TJE - Compensação por Danos Imateriais sob a Arte. 82 GDPR
Autor: Sharon Schmidt
Num recente acórdão, proferido em 15 de Abril de 2021, o Supremo Tribunal austríaco (Oberste Gerichtshof, OGH) considerou que o tratamento de dados sobre a afinidade do sujeito a um partido político constitui uma categoria especial de dados pessoais. Isto aplica-se mesmo que os dados em questão se baseiem em sondagens e estatísticas anónimas.
Além disso, mediante pedido de decisão prejudicial nos termos do Art. 267 TFUE, o OGH apresentou questões fundamentais relativas à interpretação do art. 267 TFUE. 82 GDPR ao Tribunal de Justiça das Comunidades Europeias (TJUE). Mais especificamente, pediu esclarecimentos sobre os requisitos de concessão de indemnizações com base nas violações do GDPR e a avaliação das referidas indemnizações nos termos do artigo 82. 82 GDPR.
Fatos
Os factos subjacentes a este caso encontram a sua origem numa disputa legal separada (6Ob35/21x).
- O Réu vendeu dados pessoais para fins de marketing de terceiros como editor de endereços ("Adresshändler") ao abrigo do § 151 da Lei Austríaca de Regulamentação do Comércio (Gewerbeordnung 1994, GewO);
- As informações recolhidas pelo Réu incluíam detalhes sobre a afinidade partidária de cidadãos austríacos;
Após um pedido de acesso (Art. 15 GDPR), o Requerido soube que o Réu tinha presumido que a afinidade política do Requerido se encontrava com o Partido Austríaco da Liberdade (FPÖ); - A informação relativa à afinidade do sujeito foi derivada através do uso de um algoritmo para definir "endereços do grupo alvo" de acordo com as características sócio-demográficas;
- Sem ter sido dado o consentimento em relação ao processamento e armazenamento dos dados, o Requerente solicitou:
- Uma injunção para impedir o Réu de processar dados sobre as suas supostas opiniões políticas;
- Indemnização de 1.000 euros pelos danos imateriais causados como resultado da afinidade partidária que lhe tinha sido atribuída, o que ele considerou insultuoso, vergonhoso e prejudicial para o crédito.
Enquanto o pedido de liminar foi deferido pelo Tribunal Regional de Viena para Assuntos Civis (Landesgericht für Zivilsachen), os danos foram negados por não terem atingido o limiar exigido para a reparação de danos imateriais. A decisão foi confirmada pelo Tribunal Regional Superior (Oberlandesgericht). A decisão foi objecto de recurso por ambas as partes.
Questões legais
O julgamento do OGH centrou-se em 1) se os dados relativos à afinidade do partido pelos partidos políticos se qualificam como dados pessoais (Art. 4(1) GDPR); 2) se esses dados constituem uma categoria especial de dados pessoais (Art. 9 GDPR); 3) se o Demandado deve abster-se de continuar a processar os dados do Demandante no futuro; 4) se o processamento de dados dá direito a compensação ao Demandante (Art. 82 GDPR).
Decisão Parcial da OGH
- Dados Pessoais (Art. 4(1) GDPR)
- Os dados pessoais referem-se a qualquer informação relativa a pessoas singulares identificadas ou identificáveis ("sujeitos dos dados");
- Uma pessoa singular identificável deve ser aquela que pode ser identificada, directa ou indirectamente por uma referência particular a um identificador;
- Os dados pessoais foram guardados para incluir dados obtidos através de avaliações subjectivas e/ou objectivas (ou seja, dados não pessoais, por exemplo, sondagens/estatísticas), uma vez que permitiram que a "afinidade por um partido político" fosse directamente atribuída a uma pessoa singular identificada/identificável;
- A validade da alegada afinidade é, por este meio, irrelevante;
- O facto de a informação ser apenas uma expressão do interesse assumido por um determinado partido político é igualmente irrelevante.1
Categoria Especial de Dados Pessoais (Art. 9 GDPR)
- O termo "opinião política" deve ser interpretado em sentido lato para garantir um nível de protecção uniforme e elevado;
- Qualquer risco de discriminação grave como resultado do processamento de determinados tipos de dados deve ser minado;
- Os dados sobre as preferências políticas dos sujeitos dão origem a uma potencial discriminação e, portanto, devem ser considerados como estando no âmbito da opinião política de acordo com o artigo. 9 GDPR.2
Remédio (Art. 79 GDPR)
- O direito a um recurso judicial eficaz é garantido pelo Art. 79 GDPR quando os direitos da pessoa em causa tiverem sido violados em resultado do tratamento dos seus dados pessoais em desrespeito às disposições da GDPR;
- Na ausência de consentimento explícito do sujeito, o tratamento de dados sobre a afinidade de um partido político é considerado ilegal sob 9(2)(a) em si mesmo;
- O facto de os dados relevantes terem sido apagados/não publicados, isto é, ocorrendo internamente mas não aparecendo externamente, é irrelevante, uma vez que não elimina o perigo de tais dados serem (re)criados no futuro;
- Uma providência cautelar deve ser mantida onde existe a possibilidade de os dados serem recriados no futuro.
Perguntas dirigidas ao TJUE
O Supremo Tribunal austríaco solicitou uma decisão prejudicial do TJUE ao abrigo do art. 267 TFUE sobre a interpretação e aplicação do pedido de indemnização regulado no art. 267. 82 GDPR.
Em particular, o TJUE é convidado a esclarecer:
- Se um pedido de indemnização, para além da violação de uma disposição da GDPR, exige que o Requerente tenha sofrido danos específicos ou se essa violação é suficiente para se qualificar para a adjudicação;
- Se requisitos adicionais do direito comunitário, para além dos princípios de eficácia e equivalência, devem ser considerados pelos tribunais nacionais na sua avaliação dos danos;
- Se o limiar para os danos não-pecuniários/não-materiais exige que a infracção tenha consequências de um certo grau ou peso que se estenda para além da raiva ou do incómodo causado por essa infracção.
Embora tipicamente perseguida através de reclamações em massa, qualquer pessoa que tenha sofrido danos materiais ou não materiais como resultado de uma violação de uma disposição da GDPR, mantém o direito de intentar uma acção judicial ao abrigo do art. 82 GDPR.
As empresas são bem aconselhadas a acompanhar de perto os relatórios de imprensa sobre perda de dados e identificar precocemente indicadores de violações da protecção de dados para permitir a revisão expedita das falhas dentro dos regulamentos de protecção de dados existentes. Além disso, seria benéfico assegurar que a documentação e os processos internos sejam alinhados com os princípios e requisitos de implementação da GDPR. Para este fim, a revisão das decisões anteriores relacionadas com o Art. 82 GDPR, tanto a nível interno como da UE, será fundamental. É evidente que, com base no encaminhamento de questões preliminares pelo OGH para o TJUE, foi lançada uma base importante que poderia permitir uma interpretação uniforme da lei de protecção de dados sobre danos.
Notas de rodapé
1. Ver também 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).
2. Ver também W258 2217446-1 (BVwG).
O conteúdo deste artigo destina-se a fornecer um guia geral sobre o assunto. Deve ser procurado aconselhamento especializado sobre as suas circunstâncias específicas.