Notícia

Notas a Direito: Contencioso da Proteção de Dados #13

Ao longo do mês de fevereiro - todas as terças e quintas-feiras -, o sócio A. Barreto Menezes Cordeiro analisa as questões mais complexas e controvertidas sobre Proteção de Dados.

Contencioso da Proteção de Dados: Responsabilidade Civil II

Na Nota a Direito anterior, analisámos os vários pressupostos da responsabilidade civil do artigo 82.º do Regulamento Geral sobre a Proteção de Dados. Cabe, agora, proceder à análise das partes.

O número 1 do artigo 82.º inicia-se com “[q]ualquer pessoa que tenha sofrido danos”. Nesse sentido, são possíveis, em abstrato, três interpretações:

1. todas as pessoas coletivas e singulares;

2. apenas as pessoas singulares;

3. somente os titulares de dados visados.

Não encontramos qualquer argumento decisivo, de índole literal, sistemática, histórica ou teleológica que justifique circunscrever o artigo 82.º aos titulares de dados, pelo contrário. Tanto o texto, como o espírito do RGPD apontam no sentido da proteção de todos os direitos e liberdades fundamentais das pessoas singulares, sem exceção. Em caso de dúvida, como manifestamente parece ser o caso, cabe aos tribunais assumir a solução que melhor acautele os direitos das pessoas singulares. Naturalmente que o preenchimento dos elementos do artigo 82.º, em especial o nexo de causalidade, são, em relação a terceiros, de mais difícil preenchimento.

Em relação às pessoas coletivas e embora nos inclinemos para a sua exclusão, não vemos qualquer benefício em assumir essa posição em absoluto. A novidade da matéria aconselha que se aguarde pelos casos reais que irão certamente chegar aos tribunais nacionais e europeus e, só então, pesar as vantagens e as desvantagens da sua invocação.

Em relação aos agentes prevaricadores, o artigo 82.º do RGPD é aplicável aos responsáveis pelo tratamento e aos subcontratantes.

Os responsáveis pelo tratamento são, nos termos da primeira parte do artigo 82.º/2, passíveis de ser responsabilizados desde que estejam envolvidos num tratamento que viole o RGPD. O sistema não exige que o responsável assuma um papel nuclear na produção dos danos causados, nem sequer um papel decisivo. Na prática, o responsável pelo tratamento poderá ser responsabilizado mesmo não tendo causado qualquer dano ao sujeito lesado.

Os subcontratantes, ao contrário do que se verifica com os responsáveis, apenas podem ser responsabilizados em duas situações concretas:

- por violação de obrigações decorrentes do RGPD, que lhes sejam especificamente dirigidas;

- e por incumprimento das instruções lícitas recebidas por parte do responsável pelo tratamento.