O Tribunal de Justiça (Primeira Secção) proferiu no dia 26 de setembro de 2024 o acórdão no processo C-768/21, na sequência de um pedido de decisão prejudicial apresentado por um Tribunal Administrativo alemão.
O reenvio visa responder à questão de saber se uma autoridade de controlo está obrigada, ao abrigo do Regulamento Geral de Proteção de Dados (RGPD), a aplicar uma qualquer medida de correção, e, em particular, coimas, em caso de violação comprovada e consumada das regras de proteção de dados pessoais.
No seu acórdão, e em linha com as Conclusões do Advogado-geral, apresentadas em 11 de abril de 2024, o Tribunal de Justiça conclui que «em caso de constatação da existência de uma violação de dados pessoais, a autoridade de controlo não está obrigada a adotar uma medida de correção, designadamente uma coima […] quando essa intervenção não for apropriada, necessária ou proporcionada para sanar a insuficiência constatada e garantir o pleno respeito deste regulamento».
Também o Advogado-geral havia sinalizado que a intervenção da autoridade de controlo será desprovida de sentido se a questão for entretanto resolvida ou ultrapassada por medidas autónomas adotadas pelo responsável pelo tratamento, podendo até revelar-se contraproducente, desviando recursos necessários para outros casos e funções.
Enquadramento factual
A colaboradora de uma entidade municipal de Direito Público (entidade municipal) ativa, designadamente, na realização de operações bancárias e de crédito, consultou, por várias vezes, e sem autorização e/ou habilitação para o efeito, dados pessoais de um dos clientes daquela.
Dando cumprimento ao disposto no artigo 33.º do RGPD, a entidade municipal notificou a autoridade de controlo competente da verificação de uma violação de dados pessoais. Considerando inexistir, porém, risco elevado para os direitos e liberdades do cliente visado, a entidade municipal optou por não efetuar uma comunicação ao titular dos dados, nos termos do artigo 34.º do RGPD.
Tendo tido conhecimento incidental da violação, o titular dos dados (cliente) apresentou uma queixa à autoridade de controlo, nos termos e ao abrigo do artigo 77.º do RGPD. Após análise dos factos relevantes, a autoridade de controlo i) concordou com a interpretação segundo a qual, no caso, não era necessário comunicar a violação ao titular dos dados, e ii) optou por não agir contra a entidade municipal através da aplicação de uma medida corretiva e, em particular, uma coima, justificando e fundamentando a sua atuação.
Inconformado, o titular dos dados recorreu desta decisão para o Tribunal Administrativo competente, alegando que a sua queixa não fora tratada como exigido pelo RGPD, e mais avançando que a autoridade de controlo deveria ter aplicado uma coima à entidade municipal, por violação de várias disposições do RGPD, e em razão da inexistência de espaço para um princípio de oportunidade.
Em face das dúvidas quanto ao alcance do Direito da União Europeia aplicável, o órgão jurisdicional de reenvio decidiu colocar ao Tribunal de Justiça a seguinte questão prejudicial: «Devem os artigo 57.º, n.º 1, alíneas a) e f), e 58.º, n.º 2, alíneas a) a j), em conjugação com o artigo 77.º, n.º 1, do [RGPD], ser interpretados no sentido de que, quando a autoridade de controlo constata a existência de um tratamento de dados que viola os direitos do interessado, a autoridade de controlo é sempre obrigada a intervir nos termos do artigo 58.º, n.º 2, [deste regulamento]?».
Apreciação do Tribunal de Justiça
No seu acórdão, o Tribunal começa por recordar que a interpretação de uma disposição de Direito da União deve ter em conta, além da sua letra, o contexto em que se insere, e os objetivos e finalidade prosseguidos.
Sublinha, ainda, o importante papel das autoridades nacionais de controlo na garantia e fiscalização do cumprimento das regras da União em matéria de proteção de dados pessoais, o que inclui o dever de tratamento e de investigação diligente de queixas apresentadas por titulares dos dados, potencialmente lesados1.
Em particular quanto à questão de saber o que é exigido à autoridade de controlo em caso de incumprimento das regras do RGPD, principia o Tribunal de Justiça por esclarecer que não é possível deduzir de nenhuma norma a exigência de adoção, pela autoridade de controlo, de uma qualquer ação (v.g. medida corretiva), em caso de incumprimento do RGPD. Mais acrescenta não ter o titular dos dados (queixoso um qualquer direito subjetivo à aplicação de coimas ao responsável pelo tratamento.
Pelo contrário, quer i) a decisão relativa à adoção de medidas corretivas, quer, em caso positivo, ii) a escolha da(s) concreta(s) medida(s) a adotar devem obediência ao princípio da proporcionalidade, devendo (ambas as decisões) revelar-se adequadas, necessárias e proporcionadas face ao objetivo de assegurar a conformidade com e o cumprimento do Regulamento.
A este propósito, considera o Tribunal que, nos casos em que a violação, pese embora consumada, não persista – por exemplo, porque o responsável pelo tratamento adotou medidas técnicas e organizativas adequadas a assegurar a cessação da infração e a sua não reiteração no futuro2 – as finalidades do RGPD, a saber, a garantia da conformidade, estarão asseguradas, não estando a autoridade de controlo obrigada a adotar uma medida corretiva e, muito menos, uma coima. Com efeito, ainda quando uma medida corretiva deva ser adotada, esclarece o Tribunal de Justiça que o princípio da proporcionalidade deverá nortear a escolha, outras opções existindo – nomeadamente, a repreensão –, potencialmente (mais) adequadas e proporcionais.
Importância e conclusões para futuro
O aresto do Tribunal de Justiça afigura-se relevante a vários níveis, sendo demonstrativo daquele que é e deverá ser o objetivo norteador da respetiva aplicação e execução prática(s): nas palavras do Tribunal, «assegurar a conformidade do tratamento de dados pessoais com este regulamento, bem como o restabelecimento de situações de violação deste último, para as tornar conformes com o direito da União».
Porque assim é, não existe fundamento para a preferência pela aplicação de medidas corretivas, e, em particular, pela adoção de coimas que, sobretudo no que se refere a entidades de Direito Público poderão representar a pura destruição de recursos públicos, falhando o “alvo”.
Do acórdão do Tribunal de Justiça resulta clara a importância do princípio da proporcionalidade, como elemento norteador e limite das opções das autoridades de controlo, quer no que se refere à decisão de aplicação de uma qualquer medida corretiva, quer, e em caso positivo, à escolha da concreta medida a adotar que, como o Tribunal reitera, não tem de ser uma coima. Ao fazê-lo, o aresto deixa, ainda, evidenciada a intervenção de um princípio de oportunidade, sobretudo nos cenários em que, pese embora a violação (consumada), não existe já desconformidade carecida de resposta.
_______________________
1Ainda assim, considerou o Tribunal que, no caso concreto, a queixa fora examinada no seu mérito, tendo o titular sido informado do resultado da investigação, apreciação factual que ao órgão jurisdicional caberá, em definitivo, confirmar.
2In casu, o Tribunal valorou a circunstância de a entidade municipal ter procedido à notificação da violação à autoridade de controlo e adotado medidas disciplinares contra a funcionária em causa, tendo esta confirmado por escrito i) que não tinha copiado nem conservado os dados pessoais, ii) que não os tinha transmitido a terceiros, e iii) que não o faria no futuro.
