Newsletter
22 Fevereiro 2024 Responsabilidade do responsável pelo tratamento de dados pessoais em caso de ataque informático ao abrigo do RGPD

Acórdão do Tribunal de Justiça da União Europeia de 14 de dezembro de 2023
Processo C-340/21


Na sequência da divulgação, nos meios de comunicação social, da ocorrência de um ataque informático a uma autoridade nacional búlgara, que terá afetado mais de seis milhões de cidadãos búlgaros e estrangeiros, foram intentadas múltiplas ações de indemnização por danos morais contra a referida autoridade nacional.

No âmbito de uma dessas ações, o Tribunal de Justiça da União Europeia foi chamado a pronunciar-se sobre a responsabilidade do responsável pelo tratamento de dados pessoais, em caso de acesso não autorizado a dados pessoais, ao abrigo do Regulamento Geral sobre a Proteção de Dados.

Por acórdão de 14 de dezembro de 2023, no âmbito do processo C-340/21, o Tribunal de Justiça decidiu, quanto às questões prejudiciais que lhe foram colocadas, que:

  • Em caso de divulgação não autorizada ou de acesso não autorizado a dados pessoais, os juízes não podem deduzir apenas deste facto que as medidas de proteção aplicadas pelo responsável pelo tratamento não eram adequadas. Os juízes têm de examinar a adequação destas medidas de forma concreta;
  • Incumbe ao responsável pelo tratamento provar que as medidas de proteção aplicadas são adequadas;
  • Na hipótese de a divulgação não autorizada ou de o acesso não autorizado a dados pessoais terem sido cometidos por «terceiros» (como, por exemplo, cibercriminosos), o responsável pelo tratamento pode ter de indemnizar as pessoas que sofreram esses danos, salvo se provar que os danos em nada lhe são imputáveis; e que
  • O receio que uma pessoa possa sentir de uma potencial utilização abusiva dos seus dados pessoais por terceiros, na sequência de uma violação do RGPD, é suscetível, por si só, de constituir «danos imateriais».

 O presente acórdão surge na sequência do Acórdão do Tribunal de Justiça, de 4 de maio de 2023, proferido no processo C-300/21, nos termos do qual foi decidido que o Regulamento Geral sobre a Proteção de Dados deve ser interpretado no sentido em que:

  • a simples violação das disposições deste regulamento não é suficiente para conferir um direito de indemnização;
  • se opõe a uma norma ou a uma prática nacional que subordina a indemnização de um dano imaterial à condição de o dano sofrido pelo titular dos dados atingir um certo grau de gravidade; e que
  • para efeitos da fixação do montante da indemnização devida a título do direito de indemnização, os juízes nacionais devem aplicar as normas internas de cada Estado‑Membro relativas ao alcance da indemnização pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União.

 

Artigo por: Paulo Lacão

Anterior Ver Artigos Seguinte
Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.