Eu não sei se você viu estas notícias, mas na semana passada (4 de maio de 2023) foram divulgadas três decisões importantes na Europa a respeito da proteção de dados pelo Tribunal de Justiça da União Europeia (“TJUE”).
A primeira delas contém a indicação de que a ausência de um registro de atividades de tratamento ou de um contrato no caso de controladores conjuntos não torna ilícito o tratamento de dados pessoais, nem confere ao titular dos dados um direito ao apagamento ou à limitação do tratamento. O argumento do TJUE é o de que o que define se um tratamento é lícito ou não é a existência de bases legais. Como no caso específico havia uma base legal corretamente indicada, não se pode falar em “ilicitude do tratamento”. O acórdão está disponível em português neste link.
A segunda decisão fala sobre danos imateriais. Em resumo, o TJUE indica que a violação das disposições de proteção de dados, por si só, não é suficiente para conferir aos titulares um direito de receber indenizações. Por outro lado, o TJUE também decidiu que não há limite mínimo de gravidade para o titular para que ele possa solicitar tais indenizações (ou seja, não se pode falar que há um “limite mínimo X” para que, apenas a partir daí, o titular possa pleitear as indenizações). Cabe aos tribunais dos Estados-Membros da União Europeia decidirem o valor de uma eventual indenização pecuniária aos titulares. O acórdão está disponível em português neste link.
Por fim, a terceira decisão fala sobre o conteúdo do direito de acesso. Em resumo, o TJUE decidiu que o direito de obter do controlador uma cópia dos dados pessoais em fase de tratamento implica que seja entregue ao titular dos dados uma reprodução fiel e inteligível de todos esses dados. Este direito pressupõe o direito de obter a cópia de extratos de documentos ou de documentos completos ou ainda de extratos de bases de dados que contenham, especificamente, os referidos dados, se o fornecimento dessa cópia for indispensável para permitir ao titular dos dados exercer efetivamente os direitos que lhe são conferidos pelo Regulamento Geral sobre a Proteção de Dados, sendo de sublinhar que devem ser tidos em conta, a este respeito, os direitos e liberdades de terceiros. O acórdão está disponível em português neste link.
Por um lado, pode-se argumentar que estas são decisões que impactam “apenas” a Europa. Mas é importante conhecer o raciocínio até por questões de boas práticas, de maneira que as organizações estejam preparadas para os desafios da realidade prática que aparece todos os dias.
Qual sua visão sobre estas três decisões importantes na Europa? Deixe abaixo nos comentários.
Vamos que vamos e #colanopapai!
