YEAR 2024 No 3
ISSN 2182-9845
The civil liability of the data controller for facts relating to the data processor
Ricardo Menezes
Keywords
General data protection regulation; Data controller; Data processor; Civil liability.
Abstract
The aim of the present article is to analyse the legal framework applicable to the civil liability of the data controller towards third parties for actions attributable to the data processor, in light of the provisions of the General Data Protection Regulation (hereinafter “GDPR”). In relation to non-contractual liability, we reach the conclusion that the most correct position is the one endorsed by legal scholars who understand that the GDPR establishes a model of strict civil liability (i.e., the controller is legally responsible for the consequences flowing from the activity of the processor even in the absence of fault). Taking this into consideration, some Portuguese legal scholars have sustained that the regime which establishes the civil liability of the principal (comitente) for damages caused by its agent (comissário), pursuant to article 500 of the Portuguese Civil Code, should apply in this context. A for cases where data processing operations occur within the scope of a contractual relationship, the application of the solution provided in article 800 of the Portuguese Civil Code has also been considered. However, we have concluded that the application of the regimes provided in both of the aforementioned articles depends on the fulfilment of more demanding requirements than those we believe are established under the GDPR, leading us to align with the legal scholars who argue against the application of these Portuguese legal regimes to the processing of personal data.
Full Text HTML
1. Introdução
Responsável pelo tratamento de dados[1] e subcontratante[2] são dois dos sujeitos que podem assumir um papel relevante no âmbito das operações de tratamento de dados pessoais[3]. No presente estudo procuraremos analisar os fundamentos e o alcance da responsabilidade civil do data controller por facto imputável a um data processor que, com a sua atuação, ponha em causa as normas legais de proteção de dados pessoais.
2. Responsável pelo tratamento e subcontratante – breves noções e qualificação da sua relação
No art. 4.º, n.º 7, do Regulamento Geral sobre a Proteção de Dados[4] encontra-se prevista a noção de RPT adotada pelo legislador europeu[5]. Desta norma resulta, desde logo, que uma multiplicidade de sujeitos podem assumir o papel de data controller[6]. Essencial é que, independentemente do sujeito que desempenhe estas funções, os fins e os meios do tratamento dos dados pessoais sejam determinados por ele[7].
Já a figura do subcontratante encontra-se definida no art. 4.º, n.º 8, do RGPD[8]. Tal como o que sucede com a figura do RPT, são também diversos os sujeitos que podem assumir a posição de processors[9]. O aspeto fundamental da distinção entre subcontratante e RPT é o facto de aquele atuar por conta deste, o que essencialmente se traduz na impossibilidade de o subcontratante determinar as finalidades das operações de tratamento, papel esse que caberá ao RPT. Por esta razão, o art. 28.º, n.º 10 do RGPD estabelece que o subcontratante que determine as finalidades e os meios de um determinado tratamento de dados, será considerado RPT para efeitos dessa operação – o que releva é o critério material da definição das finalidades, pelo que um sujeito que num determinado contexto seja formalmente designado de “subcontratante” poderá ser considerado RPT, sendo-lhe aplicável o respetivo regime, desde que se prove que era ele quem, de facto, determinava as finalidades e os meios de uma determinada operação de tratamento[10].
A relação que se estabeleça entre o subcontratante e o RPT deverá ser regulada por contrato ou por outro ato normativo vinculativo[11]. Apesar de a qualificação jurídica dessa mesma relação se revelar uma tarefa difícil[12], tendemos para afirmar que estará aqui em causa um subcontrato[13] no âmbito de uma relação de prestação de serviços[14].
3. A responsabilidade civil do responsável pelo tratamento por facto do subcontratante
De acordo com o art. 82.º, n.º 1 do RGPD, as pessoas lesadas pela violação das normas contidas no regulamento têm direito a uma indemnização pelos danos sofridos que deverá ser prestada pelo RPT ou pelo subcontratante.
No presente capítulo, e seguindo a clássica distinção entre responsabilidade extracontratual (também designada de delitual ou aquiliana) e responsabilidade obrigacional (âmbito em que se destaca a responsabilidade contratual)[15], procuraremos abordar de forma mais desenvolvida a problemática da responsabilidade civil do controller por facto imputável ao processor, com particular foco nas questões respeitantes à responsabilidade extracontratual[16].
Para que surja na esfera de um sujeito uma obrigação de indemnizar os danos sofridos por outrem, deverão verificar-se, como aponta a doutrina, os seguintes pressupostos: facto voluntário do agente, ilicitude, culpa, dano e nexo de causalidade entre o facto e o dano[17]. No que diz respeito à responsabilidade civil no âmbito do Direito da Proteção de Dados, as principais questões surgem, a nosso ver, quanto aos pressupostos da ilicitude e da culpa.
Em relação à ilicitude, conforme resulta do art. 483.º, n.º 1 do CC destacam-se duas modalidades fundamentais[18]: a violação de direitos subjetivos (absolutos) de outrem[19] e a violação de normas de proteção[20]. Do nosso ponto de vista, ambas as modalidades de ilicitude assumem relevo ao nível da responsabilidade civil no âmbito do Direito da Proteção de Dados.
Quanto à primeira modalidade, parece-nos claro que a proteção de dados tem um papel determinante na salvaguarda de diversos direitos de personalidade, desde logo o próprio direito à proteção de dados pessoais, mas também direitos como o direito à privacidade, à identidade ou à honra[21].
Já relativamente à segunda modalidade, é do próprio n.º 1 do art. 33.º da Lei n.º 58/2019, de 8 de Agosto, que se retira que a violação de normas de proteção poderá ser fonte de responsabilidade civil neste âmbito quando estabelece que quem “[…] tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido”[22]. Poderão, assim, ser fundamento da obrigação de indemnizar não só as situações de violação de direitos dos titulares de dados pessoais, mas também a própria a inobservância das disposições do RGPD e da lei nacional de proteção de dados que estejam relacionadas com as atividades desenvolvidas pelos controllers e pelos processors[23].
Esta conclusão — ou seja, o entendimento de que poderão ser convocadas para este tipo de hipóteses ambas as modalidades de ilicitude — não é inócua, assumindo relevantes consequências práticas, desde logo porque, como lembra Mafalda Miranda Barbosa, o recurso à segunda modalidade de ilicitude permite “[…] alargar o leque de interesses tutelados, podendo-se proteger aqueles que não correspondem à atribuição de uma posição dotada de eficácia erga omnes […]”[24].
No que respeita à matéria da culpa[25], ocupa posição central o disposto no art. 82.º, n.º 3 do RGPD. Decorre desta norma que o RPT ou o subcontratante poderão afastar a sua responsabilidade caso provem não serem de modo algum responsáveis pelo evento que deu origem aos danos. A interpretação desta norma tem gerado opiniões diversas na doutrina, existindo autores que consideram estar aqui em causa uma presunção de culpa[26], autores que entendem que esta norma consagra uma presunção de faute[27] e autores que retiram daqui a consagração de uma responsabilidade objetiva[28]. Esta divisão acabou por se refletir ao nível do TJ que, em dezembro de 2023, proferiu três acórdãos que parecem apontar para entendimentos diversos nesta matéria.
No dia 14 de dezembro foram proferidos os acórdãos relativos ao processo C-456/22, “Gemeinde Ummendorf” e ao processo C-340/21, “Natsionalna agentsia za prihodite”, nos quais o tribunal parece acolher o entendimento de que a responsabilidade civil no âmbito do RGPD não depende da existência de culpa.
Com efeito, no parágrafo 14 do acórdão “Gemeinde Ummendorf”, o TJ refere de forma clara que a existência de um dano ou de um prejuízo, a existência de uma violação do RGPD e de um nexo de causalidade entre esse dano e essa violação são os requisitos “[…] necessários e suficientes […]”[29] para se ter direito a uma indemnização nos termos do art. 82.º do RGPD.
Já no acórdão “Natsionalna agentsia za prihodite”, num caso em que tinha havido lugar a uma violação de dados pessoais por cibercriminosos (ou seja, por terceiros tal como definidos no art. 4.º, n.º 10 do RGPD), considerou-se que “[…] o responsável pelo tratamento não pode ficar isento da sua obrigação de reparar o dano sofrido por uma pessoa, nos termos do artigo 82.o, n.os 1 e 2 […] pelo simples facto de esse dano resultar de uma divulgação ou acesso não autorizados a dados pessoais por «terceiro[s]», na aceção do artigo 4.o, ponto 10 […] devendo então o referido responsável provar que não é de modo nenhum responsável pelo evento que deu origem aos danos” (parágrafo 74).
Quanto a este aspeto, o tribunal parece apontar que o critério para que o RPT possa afastar a sua responsabilidade reside não no plano da culpa[30] mas sim no do nexo de causalidade, assumindo um entendimento bastante exigente: “[…] no caso de uma violação de dados pessoais cometida por um terceiro, o responsável pelo tratamento pode ficar isento de responsabilidade, com base no artigo 82.o, n.o 3, do RGPD, provando que não existe um nexo de causalidade entre qualquer violação da sua obrigação de proteção de dados e o dano sofrido pelo indivíduo” (parágrafo 72).
No entanto, a 21 de dezembro, no acórdão relativo ao processo C-667/21, “Krankenversicherung Nordrhein”, o TJ viria a decidir de forma clara que “[…] a responsabilidade do responsável pelo tratamento está subordinada à existência de culpa, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável […]” (parágrafo 85). O tribunal afastou a hipótese de o RGPD prever um modelo de responsabilidade objetiva afirmando simplesmente que tal “[…] não asseguraria a realização do objetivo de segurança jurídica visado pelo legislador, como resulta do considerando 7 do RGPD” (parágrafo 100)[31].
Para além de representar uma alteração em relação àquela que nos pareceu a tendência das anteriores decisões do tribunal, este acórdão contrariou também as conclusões do Advogado-Geral Sánchez-Borbona apresentadas nesse processo onde se conclui, de forma que nos parece particularmente bem fundamentada, que “[…] a leitura do artigo 82.o, n.o 1, do RGPD, no sentido de que institui um regime de responsabilidade civil alheia à culpa do gestor [sic] do tratamento é conforme com a sua redação, encontra apoio imediato nos trabalhos preparatórios e, sobretudo, favorece a finalidade da norma […]”, sendo também “[…] aceitável à luz de outros números da disposição, bem como do sistema considerado no seu conjunto”[32]. Tendemos a aderir a esta última posição.
Neste sentido, destaca-se, desde logo, tal como aponta Henrique Sousa Antunes[33], o elemento literal: o considerando n.º 146 do RGPD remete para uma responsabilidade por “quaisquer danos” e o art. 82.º, n.º 3 só exonera o agente da obrigação de indemnizar quando este prove não ter sido responsável “de modo algum” pelos danos causados.
A este propósito, conforme indica o Advogado-Geral Sánchez-Borbona, é elucidativa a comparação entre a letra do art. 82.º relativo à responsabilidade civil e onde não há quaisquer referências à intenção ou culpa e a do art. 83.º, que respeita às condições gerais para a aplicação de coimas, e no qual se determina expressamente que na decisão sobre a aplicação e o montante da coima em cada caso deve ser tido em devida consideração o carácter intencional ou negligente da infração (art. 83.º, n.º 2, al. b) do RGPD)[34], o que parece apontar no sentido de que o legislador europeu pretendeu distinguir o regime aplicável à responsabilidade civil do regime aplicável à responsabilidade contraordenacional no quadro do RGPD.
Para além disso, a doutrina defendia já à luz do Direito anteriormente vigente (nomeadamente do art. 23.º da Diretiva 95/46) que a responsabilidade civil neste âmbito teria carácter objetivo: de facto, o disposto no considerando n.º 55 deste diploma, de acordo com o qual a exoneração da responsabilidade seria admitida apenas quando o agente provasse que o facto não lhe era imputável por existir responsabilidade do próprio lesado ou um caso de força maior apontava também nesse sentido, na medida em que se referia a causas de afastamento da responsabilidade que nada tinham que ver com a culpa dos agentes[35].
Com efeito, a partir do momento em que um determinado sujeito é incumbido de lidar com dados alheios, assume uma esfera de risco devendo, por isso, adotar as medidas de cuidado adequadas para assegurar que não se produzirão danos na esfera do titular dos dados[36]. Como refere o Advogado-Geral Sánchez-Borbona “[o] legislador europeu assume que o tratamento de dados pessoais possa ser fonte de riscos. Exige que os agentes envolvidos no tratamento avaliem esses riscos e tomem e atualizem medidas adequadas para prevenir e minimizar os riscos que tenham identificado”[37].
Se um agente cria ou mantém uma esfera de risco em benefício próprio[38] (tal como acontece nas operações de tratamento de dados), deverá suportar as consequências prejudiciais que daí advenham. É nisto que consiste a teoria do risco que serve, precisamente, de fundamento típico para a aplicação do instituto da responsabilidade objetiva[39].
Nesse sentido, acreditamos que a fundamentação dogmática relativa à teoria do risco a que acabámos de aludir vale também no âmbito das operações de tratamento de dados, pelo que, também por isso, consideramos que a responsabilidade civil extracontratual do RPT por facto próprio ou por facto do subcontratante terá de assumir, no quadro do Direito da Proteção de Dados, carácter objetivo[40].
Esse carácter objetivo verifica-se também ao nível da responsabilidade do RPT por facto do subcontratante. Um controller que opte por recorrer a um processor para a execução de operações de tratamento de dados pessoais, não se poderá alhear dos danos que esse processor cause[41].
Com efeito, a definição dos fins e dos meios do tratamento caberá ao RPT[42], limitando-se a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do RGPD ou que tenham origem na inobservância das instruções emitidas pelo RPT de forma lícita[43].
Assim, é o RPT que, optando por recorrer a um subcontratante para realizar o tratamento dos dados, cria, através da introdução de um novo sujeito na operação de tratamento, um novo risco de surgimento de uma lesão dos direitos dos titulares dos dados, risco esse do qual procurará retirar uma vantagem.
De facto, como aponta Francisco Rodrigues Rocha, a subcontratação é economicamente vantajosa para o RPT, permitindo-lhe aumentar a sua capacidade de tratamento sem que isso se traduza numa alienação definitiva do seu direito sobre os dados e sem os custos associados a um aumento do número de colaboradores a seu cargo ou a uma sobrecarga de trabalho[44], verificando-se, uma vez mais, uma situação subsumível à teoria do risco. De tudo isto resulta que a responsabilidade do RPT por facto do subcontratante terá de ser uma responsabilidade objetiva[45].
Regime paradigmático no âmbito da responsabilidade objetiva por facto de terceiro é o da responsabilidade civil do comitente pelos danos causados pelo comissário. A aplicação deste regime à relação estabelecida entre controllers e processors foi já defendida pela doutrina portuguesa[46].
O nosso entendimento é, no entanto, diverso. Como tivemos já a oportunidade de referir, com o RGPD, o legislador europeu procurou assegurar a mais abrangente tutela dos titulares dos dados pessoais[47], tendo aliás previsto um modelo de responsabilidade civil que, nos casos de pluralidade de agentes lesantes, tem como regra a solidariedade[48].
Ora, muito embora se possa considerar que entre controller e processor se estabelece uma relação de comissão[49], parece-nos que existem pressupostos de aplicação do regime da responsabilidade do comitente por atos do comissário que, pelo menos nos termos em que consideramos que esse regime deve ser entendido em Portugal, se podem revelar incompatíveis com aquele que é o modelo de responsabilidade civil que entendemos ter sido adotado ao nível do RGPD.
O art. 500.º, n.º 1 do CC estabelece que para que o comitente responda por atos do comissário é necessário que recaia sobre este último uma obrigação de indemnizar. Esta norma tem sido interpretada, de acordo com a doutrina clássica, no sentido de que o comitente só poderá ser responsabilizado por facto imputável ao comissário quando este tenha praticado um ato ilícito e culposo[50].
Caso se seguisse este entendimento — que teve, aliás, já o acolhimento da jurisprudência portuguesa[51] — o RPT só poderia ser responsabilizado solidariamente por facto do subcontratante nas hipóteses em que se verificasse uma atuação culposa na esfera deste último. Esta solução restringiria, assim, fortemente a posição dos titulares dos dados que o legislador europeu procurou tutelar com o regime de responsabilidade estabelecido no RGPD, uma vez que, nos casos em que o subcontratante atuasse sem culpa, apenas este poderia ser demandado, não existindo fundamento para se exigir o pagamento de uma indemnização pelo RPT. Esta fragilização seria acentuada pelo facto de o art. 82.º, n.º 2 do RGPD limitar a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do regulamento ou da inobservância das instruções lícitas do RPT[52].
No entanto, ainda que se adote uma posição diversa a este respeito – para a qual tendemos[53] – não é este o único pressuposto do regime previsto no art. 500.º que levanta dúvidas neste âmbito. Com efeito, para que o comitente responda objetivamente pelos atos do comissário é também essencial que o facto lesivo tenha sido praticado por este no exercício das suas funções, ainda que intencionalmente ou contra as instruções daquele (art. 500.º, n.º 2 do CC).
A doutrina clássica defende, a este respeito, que o comitente responderá pelos factos lesivos levados a cabo pelo comissário apenas quando esses factos sejam praticados dentro do âmbito do quadro geral de competência deste último, i.e., quando a conduta lesiva do comissário resulte do facto de este se encontrar, por força da específica configuração da relação de comissão, numa posição especialmente adequada para a prática de um facto lesivo, tornando, assim, a ocorrência de danos mais previsível no âmbito do exercício da sua função[54].
Da leitura do RGPD não resultam, no entanto, quaisquer elementos que permitam restringir a responsabilidade do controller por facto do processor apenas às hipóteses em que se verifique que os danos produzidos por este último são resultado de uma atuação dentro do seu quadro geral de competência. Pelo contrário, conforme tivemos já oportunidade de referir, o modelo de responsabilidade civil no âmbito do RGPD possui um alcance bastante abrangente, no âmbito do qual a obrigação de indemnizar só pode ser afastada em situações excecionais.
Com efeito, o art. 82.º, n.º 3 do regulamento é claro quando estabelece que o RPT ou o subcontratante só ficarão isentos de responsabilidade se provarem que não são “de modo algum” responsáveis pelo facto lesivo, independentemente de esse facto estar ou não relacionado com o concreto quadro geral de competência do processor[55]. Isto significa que, como refere Brendan Van Alsenoy, para que o RPT se exonere da sua responsabilidade terá de provar que os danos provocados ao lesado foram resultado de um evento que não lhe possa ser imputado, ou seja, de um evento que não poderia ter sido evitado pelo controllercom recurso a medidas razoáveis, não correspondendo, assim, a uma concretização do risco próprio da sua atividade[56].
Uma vez mais se verifica, assim, um conflito entre aquela que entendemos ser a melhor interpretação a dar ao RGPD e a melhor interpretação para o regime previsto no art. 500.º do CC: enquanto que, à luz do RGPD, para que se responsabilize o RPT é suficiente que os danos sejam causados pela conduta do subcontratante no exercício da sua função, de acordo com a lei portuguesa, é necessário que os danos tenham ocorrido por causa do exercício dessa função[57] [58].
Por outro lado, as operações de tratamento de dados poderão ser também levadas a cabo no contexto de uma relação obrigacional. Nestas hipóteses, se o RPT, enquanto sujeito passivo da obrigação, decidir recorrer a um subcontratante para o cumprimento da mesma, responderá perante o credor pelos danos provocados pela atuação desse terceiro. Trata-se de um princípio que, em Portugal, é acolhido pelo art. 800.º do CC[59].
Prima facie, poder-se-ia considerar que o regime estabelecido pelo ordenamento jurídico português nesta matéria seria compatível com o disposto no RGPD quanto à responsabilização do controller por facto do processor particularmente quando a operação de tratamento de dados assentasse numa base negocial[60]. No entanto, parece-nos, de novo, que se verifica uma divergência entre os modelos de responsabilidade civil do art. 800.º do CC e do art. 82.º do RGPD.
O n.º 1 do art. 800.º estabelece que o devedor deverá responder perante o credor pelos atos das pessoas que utilize para o cumprimento da obrigação “como se tais atos fossem praticados pelo próprio devedor”. Sucede que a doutrina tem interpretado esta expressão no sentido de que o devedor só responderá pelos danos provocados pelas pessoas a que recorra para o cumprimento da obrigação quando tais danos resultem de um facto ilícito e culposo imputável a essas pessoas[61].
Significa isto que, de acordo com esta leitura da lei portuguesa — que nos parece a mais correta em face do Direito positivo — o afastamento da culpa do processor, levaria ao afastamento da responsabilidade contratual do controller pelos danos e prejuízos causados pela atuação do primeiro, o que, a nosso ver, se revela incompatível com a amplitude do alcance do modelo de responsabilidade civil que consideramos ter sido acolhido pelo RGPD para assegurar o mais elevado nível de proteção aos titulares dos dados pessoais[62].
De facto, quer ao nível da responsabilidade extracontratual, quer ao nível da responsabilidade contratual, acreditamos que, no âmbito do RGPD, o melhor entendimento é aquele que foi expresso pelo Advogado-Geral Sánchez-Borbona quando refere que os objetivos de “[…] assegurar um nível de proteção elevado das pessoas singulares […]”, garantir uma indemnização aos titulares de dados lesados e “[…] reforçar a confiança dos cidadãos no ambiente digital […]” se alcançarão mais facilmente “[…] num modelo tendente a que o dano provado: seja sempre objeto de indemnização (salvo causa de exoneração, que será excecional) e dê origem a uma indemnização cuja obtenção é (comparativamente) simples, não apenas porque não é necessário provar a culpa do responsável pelo tratamento, mas porque, perante uma violação e um dano a ela associado, a imputação não depende de nenhum grau de culpa”[63].
4. Conclusão
No presente estudo procedemos à análise dos fundamentos e do alcance da responsabilidade civil do data controller por facto imputável ao data processor no âmbito do Direito da Proteção de Dados. Concluído este percurso, podemos afirmar sinteticamente, que apesar da decisão do TJ no acórdão de 21/12/2023, processo C-667/21 “Krankenversicherung Nordrhein, continuamos a entender que a interpretação do art. 82.º que melhor se adequa à letra, às finalidades e objetivos e à própria sistemática do RGPD é aquela que defende que o regulamento prevê um modelo de responsabilidade civil independente de culpa.
O enquadramento da responsabilidade civil do RPT por facto do subcontratante nestes termos corresponde, em nosso entender, à leitura que melhor se adequa ao regime do regulamento que tem, precisamente, como um dos seus principais objetivos assegurar um grau de proteção mais elevado dos titulares dos dados e de reforçar os seus direitos[64].
Aliás, no que respeita especificamente à responsabilidade civil, é elucidativa quanto à maior exigência do novo diploma, a comparação entre o art. 82.º, n.º 3 do RGPD e o art. 23.º, n.º 2 da Diretiva 95/46 – com a introdução da expressão “de modo algum” no texto do art. 82.º, n.º 3, o legislador europeu evidencia uma necessidade de afastamento de qualquer relação entre a conduta do agente e os danos causados para que se possa excluir a responsabilidade do mesmo e, por isso, uma maior exigência[65].
Para além disso, acreditamos que esta é também a leitura que apresenta maior compatibilidade com a conceção ampla do conceito de dano acolhida ao nível do regulamento[66].
Assim, tal como referimos supra, interpretado nestes termos, o regime de responsabilidade por facto de terceiro no âmbito do RGPD não é compatível com a aplicação do regime previsto nos arts. 500.º e 800.º do CC, uma vez que — segundo o entendimento que consideramos ter sido acolhido, nesta matéria, pelo Direito português — a responsabilidade por facto de terceiro dependerá sempre da verificação de pressupostos mais exigentes quanto à atuação desse mesmo terceiro que aqueles que parecem resultar do regulamento[67].
Bibliografia
Agência dos Direitos Fundamentais da União Europeia [et. al.], Handbook on European Data Protection Law [em linha], Luxemburgo, Serviços de Publicações da União Europeia, 2018, disponível in https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law-2018-edition (12.10.2024)
Alsenoy, Brendan Van, “Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation” [em linha], Journal of Intellectual Property, Information Technology and E-Commerce Law, Ano 7, Vol. 3 (2016), disponível in https://www.jipitec.eu/issues/jipitec-7-3-2016/4506 , pp. 271-288 (12.10.2024)
Antunes, Henrique Sousa, “A Responsabilidade Civil Extracontratual do Data Controller por facto do Data Processor” [em linha], Revista de Direito da Responsabilidade, Ano 3 (2021), disponível in https://revistadireitoresponsabilidade.pt/2021/a-responsabilidade-civil-extracontratual-do-data-controller-por-facto-do-data-processor-henrique-sousa-antunes/, pp. 124-156 (12.10.2024)
Barbosa, Mafalda Miranda, Lições de Responsabilidade Civil, 1.ª Edição, Cascais, Principia, 2017
Barbosa, Mafalda Miranda, “Proteção de Dados e Direitos de Personalidade: Uma Relação de Interioridade Constitutiva. Os Beneficiários da Proteção e a Responsabilidade Civil”, in Ab Instantia – Revista do Instituto de Conhecimento Abreu Advogados, Ano V, N.º 7 (2017), pp. 13-47
Barbosa, Mafalda Miranda, “Data controllers e data processors: da responsabilidade pelo tratamento de dados à responsabilidade civil” [em linha], in Revista de Direito Comercial (2018), disponível in https://www.revistadedireitocomercial.com/data-controllers-e-data-processors , pp. 423-493 (12.10.2024)
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 7 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher(edição), The EU General Data Protection Regulation (GDPR)-A Commentary, Oxford, Oxford University Press, 2020, pp. 145-156
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 8 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 157-162
Carvalho, Pedro Nunes de, “A responsabilidade do comitente”, in Revista da Ordem dos Advogados, Ano 48, Vol. I (Abril de 1988), pp. 85-120
Coelho, Cristina Pimenta, “Comentário ao art. 82.º”, in Sousa Pinheiro, Alexandre de (Coord.), Comentário ao Regulamento Geral de Proteção de Dados, Coimbra, Almedina, 2018, pp. 633-637
Comité Europeu Para a Proteção de Dados, Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD [em linha], versão 2.0., 2021, disponível in https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pt (12.10.2024)
Cordeiro, António Menezes, Tratado de Direito Civil Português, vol. II, tomo III, Coimbra, Almedina, 2010
Cordeiro, A. Barreto Menezes, “A Responsabilidade Civil dos intermediários financeiros. O artigo 304.º-A do Código dos Valores Mobiliários”, in Barbosa, Mafalda Miranda / Muniz, Francisco, Responsabilidade Civil. Cinquenta Anos em Portugal, Quinze Anos no Brasil, vol. II, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2018, pp. 83-104
Cordeiro, A. Barreto Menezes, “Da Responsabilidade Civil pelo Tratamento de Dados Pessoais”, in Barbosa, Mafalda Miranda / Rosenvald, Nelson / Muniz, Francisco, Novos Desafios da Responsabilidade Civil: Atas das II Jornadas Luso-Brasileiras de Responsabilidade Civil, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2019, pp. 39-54
Cordeiro, A. Barreto Menezes, Direito da Proteção de Dados, Coimbra, Almedina, 2020
Costa, Mário Júlio Almeida, Direito das Obrigações, 12.ª edição, Coimbra, Almedina, 2009
Frada, Manuel Carneiro da, Contrato e deveres de proteção, Separata do vol. XXXVIII do Suplemento ao Boletim da Faculdade de Direito da Universidade de Coimbra, Coimbra, 1994
Kelleher, Denis / Murray, Karen, EU Data Protection Law, Londres, Bloomsbury, 2018
Knetsch, Jonas, “The compensation of non-pecuniary loss in GDPR infringement cases” [em linha], in European Journal of Privacy Law & Technologies (2020), disponível in https://universitypress.unisob.na.it/ojs/index.php/ejplt/article/view/1128/368 (13.10.2024) pp. 63-70
Leitão, Adelaide Menezes, Normas de Proteção e Danos Puramente Patrimoniais, Dissertação de Doutoramento em Ciências Jurídicas na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2007, disponível in https://repositorio.ul.pt/handle/10451/166 (12.10.2024)
Leitão, Luís Menezes, Direito das Obrigações, vol. I, 15.ª Edição, Coimbra, Almedina, 2018
Martínez, Pedro Romano, O Subcontrato, Coimbra, Almedina, 1989
Melo, Daniel Bessa de, “Da responsabilidade civil pelo tratamento desconforme de dados pessoais” [em linha], in Coutinho, Francisco Pereira / Moniz, Graça Canto, Anuário da Proteção de Dados 2023, Lisboa, Universidade Nova de Lisboa. Faculdade de Direito e CEDIS, Centro de I & D sobre Direito e Sociedade, 2023, disponível in https://protecaodedadosue.cedis.fd.unl.pt/edicao-edition-2023/ (12.10.2024), pp. 83-108
Millard, Christopher / Kamarinou, Dimitra, “Comentário ao art. 28.º do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 599-611
Madaleno, Cláudia, A Responsabilidade Obrigacional Objetiva por Facto de Outrem [em linha], tese de Doutoramento apresentada na Faculdade de Direito da Universidade de Lisboa, 2014, disponível in https://repositorio.ul.pt/handle/10451/22242(12.10.2024)
Morais, Nuno, “A responsabilidade objectiva do comitente por facto do comissário” (A análise do art. 500.º do Código Civil – seus pressupostos e regime), in Julgar, n.º 6 (2008), pp. 41-65
Proença, José Brandão, Lições de cumprimento e não cumprimento das obrigações, 3.ª Edição, Porto, Universidade Católica Editora, 2019
Rocha, Francisco Rodrigues, “Comentário ao art. 28.º do RGPD”, in Cordeiro, A. Barreto Menezes (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2021, pp. 251-257
Rocha, Maria Victória, A imputação objetiva na Responsabilidade Contratual, Revista de Direito e Economia, ano XV, 1989, pp. 31-103
Silva, David, Responsabilidade Civil pelo Tratamento Indevido de Dados Pessoais [em linha], Dissertação de Mestrado em Direito e Prática Jurídica — Especialidade Direito da Empresa na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2020, disponível in https://repositorio.ul.pt/bitstream/10451/55030/1/ulfd0150846_tese.pdf (13.10.2024)
Trigo, Maria Da Graça, Responsabilidade Civil Delitual por Facto de Terceiro, Coimbra, Coimbra Editora, 2009
Valente, Catarina, O dano na responsabilidade civil por violação do Regulamento Geral de Proteção de Dados [em linha], Dissertação de Mestrado em Direito na Escola do Porto Faculdade de Direito da Universidade Católica Portuguesa, Porto, 2023, disponível in https://repositorio.ucp.pt/bitstream/10400.14/41881/1/203332270.pdf (13.10.2024)
Varela, João Antunes, Das obrigações em geral, vol. I, 10.ª Edição, Coimbra, Almedina, 2000
Varela, João Antunes, Das obrigações em geral, vol. II, 7.ª Edição, Coimbra, Almedina, 1997
Vasconcelos, Pedro Pais de, Contratos Atípicos, Coimbra, Almedina, 1995
Zanfir-Fortuna, Gabriela, “Comentário ao art. 82.º do RGPD” in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 1160-1179
Jurisprudência
Acórdão do STJ de 2/03/2006, processo n.º 05B4091, in http://www.dgsi.pt/
Acórdão do STJ de 26/03/2014, processo n.º 897/06.0TAOVR.P1.S1, in http://www.dgsi.pt/
Acórdão do TJ de 10/07/2018, processo n.º C-25/17, in https://curia.europa.eu/
Acórdão do TJ de 4/05/2023, processo n.º C-300/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-340/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-456/22, in https://curia.europa.eu/
Acórdão do TJ de 21/12/2023, processo n.º C-667/21, in https://curia.europa.eu/
Acórdão do TJ de 25/01/2024, processo n.º C-687/21, in https://curia.europa.eu/
Acórdão do TRC de 6/10/2009, processo n.º 642/04.5TBSEI.C2, in http://www.dgsi.pt/
Acórdão do TRL de 12/03/2015, processo n.º 9119/08.9TMSNT.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 8/7/2021, processo n.º 174/20.4T8PDL.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 2/05/2023, processo n.º 12234/21.0T8LSB.L1-7, in http://www.dgsi.pt/
Responsável pelo tratamento de dados[1] e subcontratante[2] são dois dos sujeitos que podem assumir um papel relevante no âmbito das operações de tratamento de dados pessoais[3]. No presente estudo procuraremos analisar os fundamentos e o alcance da responsabilidade civil do data controller por facto imputável a um data processor que, com a sua atuação, ponha em causa as normas legais de proteção de dados pessoais.
2. Responsável pelo tratamento e subcontratante – breves noções e qualificação da sua relação
No art. 4.º, n.º 7, do Regulamento Geral sobre a Proteção de Dados[4] encontra-se prevista a noção de RPT adotada pelo legislador europeu[5]. Desta norma resulta, desde logo, que uma multiplicidade de sujeitos podem assumir o papel de data controller[6]. Essencial é que, independentemente do sujeito que desempenhe estas funções, os fins e os meios do tratamento dos dados pessoais sejam determinados por ele[7].
Já a figura do subcontratante encontra-se definida no art. 4.º, n.º 8, do RGPD[8]. Tal como o que sucede com a figura do RPT, são também diversos os sujeitos que podem assumir a posição de processors[9]. O aspeto fundamental da distinção entre subcontratante e RPT é o facto de aquele atuar por conta deste, o que essencialmente se traduz na impossibilidade de o subcontratante determinar as finalidades das operações de tratamento, papel esse que caberá ao RPT. Por esta razão, o art. 28.º, n.º 10 do RGPD estabelece que o subcontratante que determine as finalidades e os meios de um determinado tratamento de dados, será considerado RPT para efeitos dessa operação – o que releva é o critério material da definição das finalidades, pelo que um sujeito que num determinado contexto seja formalmente designado de “subcontratante” poderá ser considerado RPT, sendo-lhe aplicável o respetivo regime, desde que se prove que era ele quem, de facto, determinava as finalidades e os meios de uma determinada operação de tratamento[10].
A relação que se estabeleça entre o subcontratante e o RPT deverá ser regulada por contrato ou por outro ato normativo vinculativo[11]. Apesar de a qualificação jurídica dessa mesma relação se revelar uma tarefa difícil[12], tendemos para afirmar que estará aqui em causa um subcontrato[13] no âmbito de uma relação de prestação de serviços[14].
3. A responsabilidade civil do responsável pelo tratamento por facto do subcontratante
De acordo com o art. 82.º, n.º 1 do RGPD, as pessoas lesadas pela violação das normas contidas no regulamento têm direito a uma indemnização pelos danos sofridos que deverá ser prestada pelo RPT ou pelo subcontratante.
No presente capítulo, e seguindo a clássica distinção entre responsabilidade extracontratual (também designada de delitual ou aquiliana) e responsabilidade obrigacional (âmbito em que se destaca a responsabilidade contratual)[15], procuraremos abordar de forma mais desenvolvida a problemática da responsabilidade civil do controller por facto imputável ao processor, com particular foco nas questões respeitantes à responsabilidade extracontratual[16].
Para que surja na esfera de um sujeito uma obrigação de indemnizar os danos sofridos por outrem, deverão verificar-se, como aponta a doutrina, os seguintes pressupostos: facto voluntário do agente, ilicitude, culpa, dano e nexo de causalidade entre o facto e o dano[17]. No que diz respeito à responsabilidade civil no âmbito do Direito da Proteção de Dados, as principais questões surgem, a nosso ver, quanto aos pressupostos da ilicitude e da culpa.
Em relação à ilicitude, conforme resulta do art. 483.º, n.º 1 do CC destacam-se duas modalidades fundamentais[18]: a violação de direitos subjetivos (absolutos) de outrem[19] e a violação de normas de proteção[20]. Do nosso ponto de vista, ambas as modalidades de ilicitude assumem relevo ao nível da responsabilidade civil no âmbito do Direito da Proteção de Dados.
Quanto à primeira modalidade, parece-nos claro que a proteção de dados tem um papel determinante na salvaguarda de diversos direitos de personalidade, desde logo o próprio direito à proteção de dados pessoais, mas também direitos como o direito à privacidade, à identidade ou à honra[21].
Já relativamente à segunda modalidade, é do próprio n.º 1 do art. 33.º da Lei n.º 58/2019, de 8 de Agosto, que se retira que a violação de normas de proteção poderá ser fonte de responsabilidade civil neste âmbito quando estabelece que quem “[…] tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido”[22]. Poderão, assim, ser fundamento da obrigação de indemnizar não só as situações de violação de direitos dos titulares de dados pessoais, mas também a própria a inobservância das disposições do RGPD e da lei nacional de proteção de dados que estejam relacionadas com as atividades desenvolvidas pelos controllers e pelos processors[23].
Esta conclusão — ou seja, o entendimento de que poderão ser convocadas para este tipo de hipóteses ambas as modalidades de ilicitude — não é inócua, assumindo relevantes consequências práticas, desde logo porque, como lembra Mafalda Miranda Barbosa, o recurso à segunda modalidade de ilicitude permite “[…] alargar o leque de interesses tutelados, podendo-se proteger aqueles que não correspondem à atribuição de uma posição dotada de eficácia erga omnes […]”[24].
No que respeita à matéria da culpa[25], ocupa posição central o disposto no art. 82.º, n.º 3 do RGPD. Decorre desta norma que o RPT ou o subcontratante poderão afastar a sua responsabilidade caso provem não serem de modo algum responsáveis pelo evento que deu origem aos danos. A interpretação desta norma tem gerado opiniões diversas na doutrina, existindo autores que consideram estar aqui em causa uma presunção de culpa[26], autores que entendem que esta norma consagra uma presunção de faute[27] e autores que retiram daqui a consagração de uma responsabilidade objetiva[28]. Esta divisão acabou por se refletir ao nível do TJ que, em dezembro de 2023, proferiu três acórdãos que parecem apontar para entendimentos diversos nesta matéria.
No dia 14 de dezembro foram proferidos os acórdãos relativos ao processo C-456/22, “Gemeinde Ummendorf” e ao processo C-340/21, “Natsionalna agentsia za prihodite”, nos quais o tribunal parece acolher o entendimento de que a responsabilidade civil no âmbito do RGPD não depende da existência de culpa.
Com efeito, no parágrafo 14 do acórdão “Gemeinde Ummendorf”, o TJ refere de forma clara que a existência de um dano ou de um prejuízo, a existência de uma violação do RGPD e de um nexo de causalidade entre esse dano e essa violação são os requisitos “[…] necessários e suficientes […]”[29] para se ter direito a uma indemnização nos termos do art. 82.º do RGPD.
Já no acórdão “Natsionalna agentsia za prihodite”, num caso em que tinha havido lugar a uma violação de dados pessoais por cibercriminosos (ou seja, por terceiros tal como definidos no art. 4.º, n.º 10 do RGPD), considerou-se que “[…] o responsável pelo tratamento não pode ficar isento da sua obrigação de reparar o dano sofrido por uma pessoa, nos termos do artigo 82.o, n.os 1 e 2 […] pelo simples facto de esse dano resultar de uma divulgação ou acesso não autorizados a dados pessoais por «terceiro[s]», na aceção do artigo 4.o, ponto 10 […] devendo então o referido responsável provar que não é de modo nenhum responsável pelo evento que deu origem aos danos” (parágrafo 74).
Quanto a este aspeto, o tribunal parece apontar que o critério para que o RPT possa afastar a sua responsabilidade reside não no plano da culpa[30] mas sim no do nexo de causalidade, assumindo um entendimento bastante exigente: “[…] no caso de uma violação de dados pessoais cometida por um terceiro, o responsável pelo tratamento pode ficar isento de responsabilidade, com base no artigo 82.o, n.o 3, do RGPD, provando que não existe um nexo de causalidade entre qualquer violação da sua obrigação de proteção de dados e o dano sofrido pelo indivíduo” (parágrafo 72).
No entanto, a 21 de dezembro, no acórdão relativo ao processo C-667/21, “Krankenversicherung Nordrhein”, o TJ viria a decidir de forma clara que “[…] a responsabilidade do responsável pelo tratamento está subordinada à existência de culpa, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável […]” (parágrafo 85). O tribunal afastou a hipótese de o RGPD prever um modelo de responsabilidade objetiva afirmando simplesmente que tal “[…] não asseguraria a realização do objetivo de segurança jurídica visado pelo legislador, como resulta do considerando 7 do RGPD” (parágrafo 100)[31].
Para além de representar uma alteração em relação àquela que nos pareceu a tendência das anteriores decisões do tribunal, este acórdão contrariou também as conclusões do Advogado-Geral Sánchez-Borbona apresentadas nesse processo onde se conclui, de forma que nos parece particularmente bem fundamentada, que “[…] a leitura do artigo 82.o, n.o 1, do RGPD, no sentido de que institui um regime de responsabilidade civil alheia à culpa do gestor [sic] do tratamento é conforme com a sua redação, encontra apoio imediato nos trabalhos preparatórios e, sobretudo, favorece a finalidade da norma […]”, sendo também “[…] aceitável à luz de outros números da disposição, bem como do sistema considerado no seu conjunto”[32]. Tendemos a aderir a esta última posição.
Neste sentido, destaca-se, desde logo, tal como aponta Henrique Sousa Antunes[33], o elemento literal: o considerando n.º 146 do RGPD remete para uma responsabilidade por “quaisquer danos” e o art. 82.º, n.º 3 só exonera o agente da obrigação de indemnizar quando este prove não ter sido responsável “de modo algum” pelos danos causados.
A este propósito, conforme indica o Advogado-Geral Sánchez-Borbona, é elucidativa a comparação entre a letra do art. 82.º relativo à responsabilidade civil e onde não há quaisquer referências à intenção ou culpa e a do art. 83.º, que respeita às condições gerais para a aplicação de coimas, e no qual se determina expressamente que na decisão sobre a aplicação e o montante da coima em cada caso deve ser tido em devida consideração o carácter intencional ou negligente da infração (art. 83.º, n.º 2, al. b) do RGPD)[34], o que parece apontar no sentido de que o legislador europeu pretendeu distinguir o regime aplicável à responsabilidade civil do regime aplicável à responsabilidade contraordenacional no quadro do RGPD.
Para além disso, a doutrina defendia já à luz do Direito anteriormente vigente (nomeadamente do art. 23.º da Diretiva 95/46) que a responsabilidade civil neste âmbito teria carácter objetivo: de facto, o disposto no considerando n.º 55 deste diploma, de acordo com o qual a exoneração da responsabilidade seria admitida apenas quando o agente provasse que o facto não lhe era imputável por existir responsabilidade do próprio lesado ou um caso de força maior apontava também nesse sentido, na medida em que se referia a causas de afastamento da responsabilidade que nada tinham que ver com a culpa dos agentes[35].
Com efeito, a partir do momento em que um determinado sujeito é incumbido de lidar com dados alheios, assume uma esfera de risco devendo, por isso, adotar as medidas de cuidado adequadas para assegurar que não se produzirão danos na esfera do titular dos dados[36]. Como refere o Advogado-Geral Sánchez-Borbona “[o] legislador europeu assume que o tratamento de dados pessoais possa ser fonte de riscos. Exige que os agentes envolvidos no tratamento avaliem esses riscos e tomem e atualizem medidas adequadas para prevenir e minimizar os riscos que tenham identificado”[37].
Se um agente cria ou mantém uma esfera de risco em benefício próprio[38] (tal como acontece nas operações de tratamento de dados), deverá suportar as consequências prejudiciais que daí advenham. É nisto que consiste a teoria do risco que serve, precisamente, de fundamento típico para a aplicação do instituto da responsabilidade objetiva[39].
Nesse sentido, acreditamos que a fundamentação dogmática relativa à teoria do risco a que acabámos de aludir vale também no âmbito das operações de tratamento de dados, pelo que, também por isso, consideramos que a responsabilidade civil extracontratual do RPT por facto próprio ou por facto do subcontratante terá de assumir, no quadro do Direito da Proteção de Dados, carácter objetivo[40].
Esse carácter objetivo verifica-se também ao nível da responsabilidade do RPT por facto do subcontratante. Um controller que opte por recorrer a um processor para a execução de operações de tratamento de dados pessoais, não se poderá alhear dos danos que esse processor cause[41].
Com efeito, a definição dos fins e dos meios do tratamento caberá ao RPT[42], limitando-se a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do RGPD ou que tenham origem na inobservância das instruções emitidas pelo RPT de forma lícita[43].
Assim, é o RPT que, optando por recorrer a um subcontratante para realizar o tratamento dos dados, cria, através da introdução de um novo sujeito na operação de tratamento, um novo risco de surgimento de uma lesão dos direitos dos titulares dos dados, risco esse do qual procurará retirar uma vantagem.
De facto, como aponta Francisco Rodrigues Rocha, a subcontratação é economicamente vantajosa para o RPT, permitindo-lhe aumentar a sua capacidade de tratamento sem que isso se traduza numa alienação definitiva do seu direito sobre os dados e sem os custos associados a um aumento do número de colaboradores a seu cargo ou a uma sobrecarga de trabalho[44], verificando-se, uma vez mais, uma situação subsumível à teoria do risco. De tudo isto resulta que a responsabilidade do RPT por facto do subcontratante terá de ser uma responsabilidade objetiva[45].
Regime paradigmático no âmbito da responsabilidade objetiva por facto de terceiro é o da responsabilidade civil do comitente pelos danos causados pelo comissário. A aplicação deste regime à relação estabelecida entre controllers e processors foi já defendida pela doutrina portuguesa[46].
O nosso entendimento é, no entanto, diverso. Como tivemos já a oportunidade de referir, com o RGPD, o legislador europeu procurou assegurar a mais abrangente tutela dos titulares dos dados pessoais[47], tendo aliás previsto um modelo de responsabilidade civil que, nos casos de pluralidade de agentes lesantes, tem como regra a solidariedade[48].
Ora, muito embora se possa considerar que entre controller e processor se estabelece uma relação de comissão[49], parece-nos que existem pressupostos de aplicação do regime da responsabilidade do comitente por atos do comissário que, pelo menos nos termos em que consideramos que esse regime deve ser entendido em Portugal, se podem revelar incompatíveis com aquele que é o modelo de responsabilidade civil que entendemos ter sido adotado ao nível do RGPD.
O art. 500.º, n.º 1 do CC estabelece que para que o comitente responda por atos do comissário é necessário que recaia sobre este último uma obrigação de indemnizar. Esta norma tem sido interpretada, de acordo com a doutrina clássica, no sentido de que o comitente só poderá ser responsabilizado por facto imputável ao comissário quando este tenha praticado um ato ilícito e culposo[50].
Caso se seguisse este entendimento — que teve, aliás, já o acolhimento da jurisprudência portuguesa[51] — o RPT só poderia ser responsabilizado solidariamente por facto do subcontratante nas hipóteses em que se verificasse uma atuação culposa na esfera deste último. Esta solução restringiria, assim, fortemente a posição dos titulares dos dados que o legislador europeu procurou tutelar com o regime de responsabilidade estabelecido no RGPD, uma vez que, nos casos em que o subcontratante atuasse sem culpa, apenas este poderia ser demandado, não existindo fundamento para se exigir o pagamento de uma indemnização pelo RPT. Esta fragilização seria acentuada pelo facto de o art. 82.º, n.º 2 do RGPD limitar a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do regulamento ou da inobservância das instruções lícitas do RPT[52].
No entanto, ainda que se adote uma posição diversa a este respeito – para a qual tendemos[53] – não é este o único pressuposto do regime previsto no art. 500.º que levanta dúvidas neste âmbito. Com efeito, para que o comitente responda objetivamente pelos atos do comissário é também essencial que o facto lesivo tenha sido praticado por este no exercício das suas funções, ainda que intencionalmente ou contra as instruções daquele (art. 500.º, n.º 2 do CC).
A doutrina clássica defende, a este respeito, que o comitente responderá pelos factos lesivos levados a cabo pelo comissário apenas quando esses factos sejam praticados dentro do âmbito do quadro geral de competência deste último, i.e., quando a conduta lesiva do comissário resulte do facto de este se encontrar, por força da específica configuração da relação de comissão, numa posição especialmente adequada para a prática de um facto lesivo, tornando, assim, a ocorrência de danos mais previsível no âmbito do exercício da sua função[54].
Da leitura do RGPD não resultam, no entanto, quaisquer elementos que permitam restringir a responsabilidade do controller por facto do processor apenas às hipóteses em que se verifique que os danos produzidos por este último são resultado de uma atuação dentro do seu quadro geral de competência. Pelo contrário, conforme tivemos já oportunidade de referir, o modelo de responsabilidade civil no âmbito do RGPD possui um alcance bastante abrangente, no âmbito do qual a obrigação de indemnizar só pode ser afastada em situações excecionais.
Com efeito, o art. 82.º, n.º 3 do regulamento é claro quando estabelece que o RPT ou o subcontratante só ficarão isentos de responsabilidade se provarem que não são “de modo algum” responsáveis pelo facto lesivo, independentemente de esse facto estar ou não relacionado com o concreto quadro geral de competência do processor[55]. Isto significa que, como refere Brendan Van Alsenoy, para que o RPT se exonere da sua responsabilidade terá de provar que os danos provocados ao lesado foram resultado de um evento que não lhe possa ser imputado, ou seja, de um evento que não poderia ter sido evitado pelo controllercom recurso a medidas razoáveis, não correspondendo, assim, a uma concretização do risco próprio da sua atividade[56].
Uma vez mais se verifica, assim, um conflito entre aquela que entendemos ser a melhor interpretação a dar ao RGPD e a melhor interpretação para o regime previsto no art. 500.º do CC: enquanto que, à luz do RGPD, para que se responsabilize o RPT é suficiente que os danos sejam causados pela conduta do subcontratante no exercício da sua função, de acordo com a lei portuguesa, é necessário que os danos tenham ocorrido por causa do exercício dessa função[57] [58].
Por outro lado, as operações de tratamento de dados poderão ser também levadas a cabo no contexto de uma relação obrigacional. Nestas hipóteses, se o RPT, enquanto sujeito passivo da obrigação, decidir recorrer a um subcontratante para o cumprimento da mesma, responderá perante o credor pelos danos provocados pela atuação desse terceiro. Trata-se de um princípio que, em Portugal, é acolhido pelo art. 800.º do CC[59].
Prima facie, poder-se-ia considerar que o regime estabelecido pelo ordenamento jurídico português nesta matéria seria compatível com o disposto no RGPD quanto à responsabilização do controller por facto do processor particularmente quando a operação de tratamento de dados assentasse numa base negocial[60]. No entanto, parece-nos, de novo, que se verifica uma divergência entre os modelos de responsabilidade civil do art. 800.º do CC e do art. 82.º do RGPD.
O n.º 1 do art. 800.º estabelece que o devedor deverá responder perante o credor pelos atos das pessoas que utilize para o cumprimento da obrigação “como se tais atos fossem praticados pelo próprio devedor”. Sucede que a doutrina tem interpretado esta expressão no sentido de que o devedor só responderá pelos danos provocados pelas pessoas a que recorra para o cumprimento da obrigação quando tais danos resultem de um facto ilícito e culposo imputável a essas pessoas[61].
Significa isto que, de acordo com esta leitura da lei portuguesa — que nos parece a mais correta em face do Direito positivo — o afastamento da culpa do processor, levaria ao afastamento da responsabilidade contratual do controller pelos danos e prejuízos causados pela atuação do primeiro, o que, a nosso ver, se revela incompatível com a amplitude do alcance do modelo de responsabilidade civil que consideramos ter sido acolhido pelo RGPD para assegurar o mais elevado nível de proteção aos titulares dos dados pessoais[62].
De facto, quer ao nível da responsabilidade extracontratual, quer ao nível da responsabilidade contratual, acreditamos que, no âmbito do RGPD, o melhor entendimento é aquele que foi expresso pelo Advogado-Geral Sánchez-Borbona quando refere que os objetivos de “[…] assegurar um nível de proteção elevado das pessoas singulares […]”, garantir uma indemnização aos titulares de dados lesados e “[…] reforçar a confiança dos cidadãos no ambiente digital […]” se alcançarão mais facilmente “[…] num modelo tendente a que o dano provado: seja sempre objeto de indemnização (salvo causa de exoneração, que será excecional) e dê origem a uma indemnização cuja obtenção é (comparativamente) simples, não apenas porque não é necessário provar a culpa do responsável pelo tratamento, mas porque, perante uma violação e um dano a ela associado, a imputação não depende de nenhum grau de culpa”[63].
4. Conclusão
No presente estudo procedemos à análise dos fundamentos e do alcance da responsabilidade civil do data controller por facto imputável ao data processor no âmbito do Direito da Proteção de Dados. Concluído este percurso, podemos afirmar sinteticamente, que apesar da decisão do TJ no acórdão de 21/12/2023, processo C-667/21 “Krankenversicherung Nordrhein, continuamos a entender que a interpretação do art. 82.º que melhor se adequa à letra, às finalidades e objetivos e à própria sistemática do RGPD é aquela que defende que o regulamento prevê um modelo de responsabilidade civil independente de culpa.
O enquadramento da responsabilidade civil do RPT por facto do subcontratante nestes termos corresponde, em nosso entender, à leitura que melhor se adequa ao regime do regulamento que tem, precisamente, como um dos seus principais objetivos assegurar um grau de proteção mais elevado dos titulares dos dados e de reforçar os seus direitos[64].
Aliás, no que respeita especificamente à responsabilidade civil, é elucidativa quanto à maior exigência do novo diploma, a comparação entre o art. 82.º, n.º 3 do RGPD e o art. 23.º, n.º 2 da Diretiva 95/46 – com a introdução da expressão “de modo algum” no texto do art. 82.º, n.º 3, o legislador europeu evidencia uma necessidade de afastamento de qualquer relação entre a conduta do agente e os danos causados para que se possa excluir a responsabilidade do mesmo e, por isso, uma maior exigência[65].
Para além disso, acreditamos que esta é também a leitura que apresenta maior compatibilidade com a conceção ampla do conceito de dano acolhida ao nível do regulamento[66].
Assim, tal como referimos supra, interpretado nestes termos, o regime de responsabilidade por facto de terceiro no âmbito do RGPD não é compatível com a aplicação do regime previsto nos arts. 500.º e 800.º do CC, uma vez que — segundo o entendimento que consideramos ter sido acolhido, nesta matéria, pelo Direito português — a responsabilidade por facto de terceiro dependerá sempre da verificação de pressupostos mais exigentes quanto à atuação desse mesmo terceiro que aqueles que parecem resultar do regulamento[67].
Bibliografia
Agência dos Direitos Fundamentais da União Europeia [et. al.], Handbook on European Data Protection Law [em linha], Luxemburgo, Serviços de Publicações da União Europeia, 2018, disponível in https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law-2018-edition (12.10.2024)
Alsenoy, Brendan Van, “Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation” [em linha], Journal of Intellectual Property, Information Technology and E-Commerce Law, Ano 7, Vol. 3 (2016), disponível in https://www.jipitec.eu/issues/jipitec-7-3-2016/4506 , pp. 271-288 (12.10.2024)
Antunes, Henrique Sousa, “A Responsabilidade Civil Extracontratual do Data Controller por facto do Data Processor” [em linha], Revista de Direito da Responsabilidade, Ano 3 (2021), disponível in https://revistadireitoresponsabilidade.pt/2021/a-responsabilidade-civil-extracontratual-do-data-controller-por-facto-do-data-processor-henrique-sousa-antunes/, pp. 124-156 (12.10.2024)
Barbosa, Mafalda Miranda, Lições de Responsabilidade Civil, 1.ª Edição, Cascais, Principia, 2017
Barbosa, Mafalda Miranda, “Proteção de Dados e Direitos de Personalidade: Uma Relação de Interioridade Constitutiva. Os Beneficiários da Proteção e a Responsabilidade Civil”, in Ab Instantia – Revista do Instituto de Conhecimento Abreu Advogados, Ano V, N.º 7 (2017), pp. 13-47
Barbosa, Mafalda Miranda, “Data controllers e data processors: da responsabilidade pelo tratamento de dados à responsabilidade civil” [em linha], in Revista de Direito Comercial (2018), disponível in https://www.revistadedireitocomercial.com/data-controllers-e-data-processors , pp. 423-493 (12.10.2024)
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 7 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher(edição), The EU General Data Protection Regulation (GDPR)-A Commentary, Oxford, Oxford University Press, 2020, pp. 145-156
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 8 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 157-162
Carvalho, Pedro Nunes de, “A responsabilidade do comitente”, in Revista da Ordem dos Advogados, Ano 48, Vol. I (Abril de 1988), pp. 85-120
Coelho, Cristina Pimenta, “Comentário ao art. 82.º”, in Sousa Pinheiro, Alexandre de (Coord.), Comentário ao Regulamento Geral de Proteção de Dados, Coimbra, Almedina, 2018, pp. 633-637
Comité Europeu Para a Proteção de Dados, Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD [em linha], versão 2.0., 2021, disponível in https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pt (12.10.2024)
Cordeiro, António Menezes, Tratado de Direito Civil Português, vol. II, tomo III, Coimbra, Almedina, 2010
Cordeiro, A. Barreto Menezes, “A Responsabilidade Civil dos intermediários financeiros. O artigo 304.º-A do Código dos Valores Mobiliários”, in Barbosa, Mafalda Miranda / Muniz, Francisco, Responsabilidade Civil. Cinquenta Anos em Portugal, Quinze Anos no Brasil, vol. II, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2018, pp. 83-104
Cordeiro, A. Barreto Menezes, “Da Responsabilidade Civil pelo Tratamento de Dados Pessoais”, in Barbosa, Mafalda Miranda / Rosenvald, Nelson / Muniz, Francisco, Novos Desafios da Responsabilidade Civil: Atas das II Jornadas Luso-Brasileiras de Responsabilidade Civil, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2019, pp. 39-54
Cordeiro, A. Barreto Menezes, Direito da Proteção de Dados, Coimbra, Almedina, 2020
Costa, Mário Júlio Almeida, Direito das Obrigações, 12.ª edição, Coimbra, Almedina, 2009
Frada, Manuel Carneiro da, Contrato e deveres de proteção, Separata do vol. XXXVIII do Suplemento ao Boletim da Faculdade de Direito da Universidade de Coimbra, Coimbra, 1994
Kelleher, Denis / Murray, Karen, EU Data Protection Law, Londres, Bloomsbury, 2018
Knetsch, Jonas, “The compensation of non-pecuniary loss in GDPR infringement cases” [em linha], in European Journal of Privacy Law & Technologies (2020), disponível in https://universitypress.unisob.na.it/ojs/index.php/ejplt/article/view/1128/368 (13.10.2024) pp. 63-70
Leitão, Adelaide Menezes, Normas de Proteção e Danos Puramente Patrimoniais, Dissertação de Doutoramento em Ciências Jurídicas na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2007, disponível in https://repositorio.ul.pt/handle/10451/166 (12.10.2024)
Leitão, Luís Menezes, Direito das Obrigações, vol. I, 15.ª Edição, Coimbra, Almedina, 2018
Martínez, Pedro Romano, O Subcontrato, Coimbra, Almedina, 1989
Melo, Daniel Bessa de, “Da responsabilidade civil pelo tratamento desconforme de dados pessoais” [em linha], in Coutinho, Francisco Pereira / Moniz, Graça Canto, Anuário da Proteção de Dados 2023, Lisboa, Universidade Nova de Lisboa. Faculdade de Direito e CEDIS, Centro de I & D sobre Direito e Sociedade, 2023, disponível in https://protecaodedadosue.cedis.fd.unl.pt/edicao-edition-2023/ (12.10.2024), pp. 83-108
Millard, Christopher / Kamarinou, Dimitra, “Comentário ao art. 28.º do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 599-611
Madaleno, Cláudia, A Responsabilidade Obrigacional Objetiva por Facto de Outrem [em linha], tese de Doutoramento apresentada na Faculdade de Direito da Universidade de Lisboa, 2014, disponível in https://repositorio.ul.pt/handle/10451/22242(12.10.2024)
Morais, Nuno, “A responsabilidade objectiva do comitente por facto do comissário” (A análise do art. 500.º do Código Civil – seus pressupostos e regime), in Julgar, n.º 6 (2008), pp. 41-65
Proença, José Brandão, Lições de cumprimento e não cumprimento das obrigações, 3.ª Edição, Porto, Universidade Católica Editora, 2019
Rocha, Francisco Rodrigues, “Comentário ao art. 28.º do RGPD”, in Cordeiro, A. Barreto Menezes (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2021, pp. 251-257
Rocha, Maria Victória, A imputação objetiva na Responsabilidade Contratual, Revista de Direito e Economia, ano XV, 1989, pp. 31-103
Silva, David, Responsabilidade Civil pelo Tratamento Indevido de Dados Pessoais [em linha], Dissertação de Mestrado em Direito e Prática Jurídica — Especialidade Direito da Empresa na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2020, disponível in https://repositorio.ul.pt/bitstream/10451/55030/1/ulfd0150846_tese.pdf (13.10.2024)
Trigo, Maria Da Graça, Responsabilidade Civil Delitual por Facto de Terceiro, Coimbra, Coimbra Editora, 2009
Valente, Catarina, O dano na responsabilidade civil por violação do Regulamento Geral de Proteção de Dados [em linha], Dissertação de Mestrado em Direito na Escola do Porto Faculdade de Direito da Universidade Católica Portuguesa, Porto, 2023, disponível in https://repositorio.ucp.pt/bitstream/10400.14/41881/1/203332270.pdf (13.10.2024)
Varela, João Antunes, Das obrigações em geral, vol. I, 10.ª Edição, Coimbra, Almedina, 2000
Varela, João Antunes, Das obrigações em geral, vol. II, 7.ª Edição, Coimbra, Almedina, 1997
Vasconcelos, Pedro Pais de, Contratos Atípicos, Coimbra, Almedina, 1995
Zanfir-Fortuna, Gabriela, “Comentário ao art. 82.º do RGPD” in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 1160-1179
Jurisprudência
Acórdão do STJ de 2/03/2006, processo n.º 05B4091, in http://www.dgsi.pt/
Acórdão do STJ de 26/03/2014, processo n.º 897/06.0TAOVR.P1.S1, in http://www.dgsi.pt/
Acórdão do TJ de 10/07/2018, processo n.º C-25/17, in https://curia.europa.eu/
Acórdão do TJ de 4/05/2023, processo n.º C-300/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-340/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-456/22, in https://curia.europa.eu/
Acórdão do TJ de 21/12/2023, processo n.º C-667/21, in https://curia.europa.eu/
Acórdão do TJ de 25/01/2024, processo n.º C-687/21, in https://curia.europa.eu/
Acórdão do TRC de 6/10/2009, processo n.º 642/04.5TBSEI.C2, in http://www.dgsi.pt/
Acórdão do TRL de 12/03/2015, processo n.º 9119/08.9TMSNT.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 8/7/2021, processo n.º 174/20.4T8PDL.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 2/05/2023, processo n.º 12234/21.0T8LSB.L1-7, in http://www.dgsi.pt/
[1] Doravante “RPT”; também designado, ao longo do presente estudo, por data controller ou simplesmente controller.
[2] Doravante também designado, ao longo do presente estudo, por data processor ou simplesmente processor. Desenvolveremos, os conceitos de responsável pelo tratamento e de subcontratante, ainda que de forma breve, infra no capítulo 2.
[3] A definição legal de tratamento encontra-se no art. 4.º, n.º 2 do RGPD. Sobre a operação de tratamento de dados pessoais v., entre outros, Denis Kelleher / Karen Murray, EU Data Protection Law, Londres, Bloomsbury, 2018, pp. 137-192 e A. Barreto Menezes Cordeiro, Direito da Proteção de Dados, Coimbra, Almedina, 2020, pp. 143-254.
[4] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante “RGPD”.
[5] A definição atual é semelhante à que resultava já do art. 2.º, al. d) da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995 (doravante a “Diretiva 95/46”). Para mais desenvolvimentos sobre o conceito de responsável pelo tratamento, v., Comité Europeu para a Proteção de Dados (doravante “CEPD”), Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD [em linha], versão 2.0., 2021, disponível in https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pt(12.10.2024), pp. 11-20 e Lee A. Bygrave e Luca Tosoni, “Comentário ao art. 4.º, n.º 7 do RGPD” in Kuner, Christopher / Bygrave Lee, A. / Docksey, Christopher(edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 145-156.
[6] O regulamento enumera as pessoas singulares ou coletivas, as autoridades públicas ou as agências. Este elenco tem carácter meramente exemplificativo, pelo que, como refere o CEPD, Orientações…, p. 11, não existe qualquer restrição quanto ao tipo de entidades que podem assumir a função de RPT.
[7] O controlo dos fins e dos meios pode resultar de disposições jurídicas quando se traduza na concretização de uma competência legal expressa, ou de uma influência de facto quando decorra das circunstâncias concretas de cada caso — CEPD, Orientações…, pp. 12-15. Para desenvolvimentos sobre a importância do controlo dos fins e dos meios no conceito de RPT, v. Mafalda Miranda Barbosa, “Data controllers e data processors: da responsabilidade pelo tratamento de dados à responsabilidade civil” [em linha], Revista de Direito Comercial (2018), disponível in https://www.revistadedireitocomercial.com/data-controllers-e-data-processors (12.10.2024), pp. 441-445 e Lee A. Bygrave e Luca Tosoni, “Comentário ao art. 4.º, n.º 7 do RGPD”…, pp. 150-151. Na jurisprudência, destaca-se o acórdão do Tribunal de Justiça (doravante “TJ”) de 10/07/2018, processo n.º C-25/17, “Testemunhas de Jeová”. Este acórdão do TJ, bem como as demais decisões dos tribunais da União Europeia citadas ao longo deste estudo, encontra-se disponível in https://curia.europa.eu/ .
[8] Sobre o subcontratante, v., entre outros, Lee A. Bygrave e Luca Tosoni, “Comentário ao art. 4.º, n.º 8 do RGPD” in Kuner, Christopher / Bygrave Lee, A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp.158-162 e Christopher Millard / Dimitra Kamarinou, “Comentário ao art. 28.º do RGPD” in Kuner, Christopher / Bygrave Lee, A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 599-611.
[9] CEPD, Orientações…, p. 29.
[10] Para uma súmula dos principais aspetos de distinção entre data controllers e data processors, A. Barreto Menezes Cordeiro, Direito…, p. 309. Alertando para o facto de esta distinção ser cada vez mais difícil e considerando que o critério definitivo de distinção, residirá por isso, precisamente, no exercício do controlo sobre os fins e os meios do tratamento, Denis Kelleher / Karen Murray, EU…, pp. 256-257.
[11] Art. 28.º, n.º 3 do RGPD. Esta norma estabelece também disposições relativas ao conteúdo desse mesmo contrato ou ato normativo. Sobre a matéria do contrato ou do ato normativo subjacente à relação entre o RPT e o subcontratante, v. CEPD, Orientações…, pp. 35-47.
[12] Sendo que se deverá ter sempre em conta que, como refere Pais de Vasconcelos, Contratos Atípicos, Coimbra, Almedina, 1995, p. 168, a qualificação não se deverá traduzir num juízo binário de correspondência total ou de não correspondência entre a relação material e o regime jurídico típico, mas sim num juízo graduável e ponderado de maior ou menor correspondência.
[13] Denominando este negócio de “acordo de subcontratação”, v. CEPD, Orientações…, pp. 15 e 18. De acordo com Pedro Romano Martínez, O Subcontrato, Coimbra, Almedina, 1989, p. 188, o subcontrato é “[...] o negócio jurídico bilateral pelo qual um dos sujeitos, parte em outro contrato, sem deste se desvincular e com base na posição jurídica que daí lhe advém, estipula com terceiro, quer a utilização, total ou parcial, de vantagens de que é titular, quer a execução, total ou parcial, de prestações a que está adstrito”. Parece-nos que a relação entre controller e processor se poderá enquadrar nesta definição, muito embora se deva salientar que, no âmbito do RGPD, o RPT não necessita de ser parte em outro contrato para estipular com o subcontratante o tratamento de dados pessoais por sua conta.
[14] Defendendo que a relação entre RPT e subcontratante ao nível do RGPD se pode qualificar como contrato de prestação de serviços típico a que serão subsidiariamente aplicáveis as regras do mandato, v. Francisco Rodrigues Rocha, “Comentário ao art. 28.º do RGPD” in Cordeiro A. Barreto Menezes (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2021, p. 255. A prestação de serviços surge assim como a classe contratual relevante neste âmbito. As classes de contratos “[…] resultam das repartições de contratos feitas com base em critérios que têm a ver com a ocorrência ou a verificação de certas características ou qualidades […]”, distinguindo-se dos tipos de contratos que são “[…] modelos regulativos com um sentido próprio e imanente […]”: Pais de Vasconcelos, Contratos…, pp. 162-163. O art. 1155.º do Código Civil (doravante “CC”) enumera os contratos típicos que, em Portugal, se incluem no âmbito da classe da prestação de serviços. No âmbito desta classe parece-nos também que, atendendo à conformação da relação entre o controller e o processor, o regime do mandato pode assumir um papel relevante. De facto, nesta relação, o subcontratante atua por conta do RPT, praticando atos de diversa índole (arts. 4.º, n.º 8 e 28.º do RGPD) devendo, no entanto, observar as instruções da contraparte no desenvolvimento da sua atividade (art. 29.º do RGPD e art. 1161.º, al. a) do CC). Ainda assim, cabe notar que, como aponta Francisco Rodrigues Rocha, “Comentário ao art. 28.º do RGPD”…, p. 255, relevante na relação entre controller e processor é que este atue por conta daquele, sendo o texto do RGPD suficientemente abrangente para acolher contratos cuja natureza jurídica seja diferente. Neste sentido, lembrando que apesar de haver uma aproximação entre a relação controller – processor e o contrato de mandato, será difícil considerar-se que estará aqui em causa uma relação típica de mandato ou, à luz da Common Law, uma relação entre principal e agent, Lee A. Bygrave e Luca Tosoni, “Comentário ao art. 4.º, n.º 8 do RGPD”, pp. 159-160.
[15] A distinção entre estas duas modalidades de responsabilidade civil é acolhida por grande parte da doutrina portuguesa. V., neste sentido, por todos, Antunes Varela, Das obrigações em geral, vol. I, 10.ª Edição, Coimbra, Almedina, 2000, pp. 518-523 (autor que prefere a utilização da expressão “responsabilidade contratual” em sentido amplo, abrangendo a violação de obrigações provenientes de fontes que não o contrato, na medida em que tal expressão se encontra “[…] há muito consagrada pelos usos linguísticos dos autores e dos tribunais […]” com esse sentido abrangente) e Menezes Cordeiro, Tratado de Direito Civil Português, vol. II, tomo III, Coimbra, Almedina, 2010, pp. 387-403. Contra, defendendo um tratamento unitário do instituto da responsabilidade civil, Menezes Leitão, Direito das Obrigações, vol. I, 15.ª Edição, Coimbra, Almedina, 2018, pp. 281-283.
[16] No entanto, não deixaremos de fazer um breve apontamento sobre as hipóteses de responsabilidade contratual por facto de terceiro, ainda que de forma breve (até porque as conclusões que se alcancem sobre determinados aspetos da responsabilidade civil em sede extracontratual valerão também, mutatis mutandis, em sede contratual).
[17] Neste sentido, v., por todos, Antunes Varela, Das obrigações…, vol. I, pp. 525-620 e Menezes Leitão, Direito…, pp. 283-350.
[18] O CC português adota em matéria de responsabilidade civil extracontratual um sistema de cláusula geral limitada à semelhança do que sucede no ordenamento jurídico alemão. Neste sentido, v. Menezes Leitão, Direito…, pp. 286-287.
[19] Estará essencialmente em causa a violação de direitos absolutos, conforme defendem Antunes Varela, Das obrigações…, vol. I, pp. 533-535 e Mafalda Miranda Barbosa, Lições de Responsabilidade Civil, 1.ª Edição, Cascais, Principia, 2017, pp. 146-165. Contra, defendendo a inclusão de todos os direitos subjetivos neste âmbito (e não apenas dos direitos absolutos), Menezes Cordeiro, Tratado…, vol. II, Tomo III, pp. 445-448.
[20] Ou seja, de disposições legais destinadas a “proteger interesses alheios” (art. 483.º, n.º 1 do CC). Para mais desenvolvimentos sobre esta figura, v. Antunes Varela, Das obrigações…, vol. I, pp. 536-542.
[21] Neste sentido, v. Mafalda Miranda Barbosa, “Proteção de Dados e Direitos de Personalidade: Uma Relação de Interioridade Constitutiva. Os Beneficiários da Proteção e a Responsabilidade Civil”, in Ab Instantia – Revista do Instituto de Conhecimento Abreu Advogados, Ano V, N.º 7 (2017), pp. 27-33. Na jurisprudência portuguesa relativa a colisões de direitos de personalidade ao nível do Direito da Proteção de Dados destaca-se o acórdão do TRL de 2/05/2023, processo n.º 12234/21.0T8LSB.L1-7.
[22] Sublinhado nosso.
[23] Neste sentido v. A. Barreto Menezes Cordeiro, “Da Responsabilidade Civil pelo Tratamento de Dados Pessoais” in Barbosa, Mafalda Miranda / Rosenvald, Nelson / Muniz, Francisco, Novos Desafios da Responsabilidade Civil: Atas das II Jornadas Luso-Brasileiras de Responsabilidade Civil, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2019, p. 42. Idêntico entendimento é seguido por David Silva, Responsabilidade Civil pelo Tratamento Indevido de Dados Pessoais [em linha], Dissertação de Mestrado em Direito e Prática Jurídica — Especialidade Direito da Empresa na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2020, disponível in https://repositorio.ul.pt/bitstream/10451/55030/1/ulfd0150846_tese.pdf(13.10.2024), pp. 83-84 e 92 e por Daniel Bessa de Melo, “Da responsabilidade civil pelo tratamento desconforme de dados pessoais” [em linha] in Coutinho, Francisco Pereira / Moniz, Graça Canto, Anuário da Proteção de Dados 2023, Lisboa, Universidade Nova de Lisboa. Faculdade de Direito e CEDIS, Centro de I & D sobre Direito e Sociedade, 2023, disponível in https://protecaodedadosue.cedis.fd.unl.pt/edicao-edition-2023/ (12.10.2024), p. 90.Quanto à matéria dos deveres de proteção em geral v. Adelaide Menezes Leitão, Normas de Proteção e Danos Puramente Patrimoniais, Dissertação de Doutoramento em Ciências Jurídicas na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2007, disponível in https://repositorio.ul.pt/handle/10451/166 (12.10.2024). Conforme recorda A. Barreto Menezes Cordeiro, ibidem, p. 41 esta solução resultava já do art. 23.º da Diretiva 95/46 procurando-se consagrar um alcance mais amplo para a responsabilidade civil no âmbito do tratamento de dados pessoais e um nível de proteção mais elevado, tendo sido novamente assumida ao nível do RGPD por insistência do Parlamento Europeu no contexto do respetivo processo legislativo.
[24] Mafalda Miranda Barbosa, “Data controllers e data processors”..., pp. 487-489 e, em especial, n. (78). Para outros desenvolvimentos sobre o pensamento da autora a este respeito, v. idem, ibidem, pp. 450-452, n. (20). Henrique Sousa Antunes, “A Responsabilidade Civil Extracontratual do Data Controller por facto do Data Processor” [em linha] in Revista de Direito da Responsabilidade, Ano 3 (2021), disponível in https://revistadireitoresponsabilidade.pt/2021/a-responsabilidade-civil-extracontratual-do-data-controller-por-facto-do-data-processor-henrique-sousa-antunes/ (12.10.2024), pp. 125, n. (4), e 126, considera que, nos casos de responsabilidade civil no âmbito do Direito da Proteção de Dados, estarão essencialmente em causa situações de violação de normas de proteção, muito embora reconheça amplitude suficiente à redação do RGPD para que sejam acolhidas outro tipo de hipóteses.
[25] Sobre a culpa enquanto pressuposto da responsabilidade civil, v., por todos, Antunes Varela, Das obrigações…, vol. I, pp. 566-597.
[26] Cristina Pimenta Coelho, “Comentário ao art. 82.º” in Sousa Pinheiro, Alexandre de (Coord.), Comentário ao Regulamento Geral de Proteção de Dados, Coimbra, Almedina, 2018, p. 636.
[27] A. Barreto Menezes Cordeiro, Direito…, pp. 393-394. O autor equipara esta presunção àquela que se encontra prevista no art. 799.º, n.º 1 do CC, norma que considera que estabelece não uma mera presunção de culpa mas uma presunção de faute, ou seja, em termos muito sumários, uma presunção de ilicitude e de culpa – para mais desenvolvimentos sobre a posição do autor quanto a esta questão, v. idem, “A Responsabilidade Civil dos intermediários financeiros. O artigo 304.º-A do Código dos Valores Mobiliários” in Barbosa, Mafalda Miranda / Muniz, Francisco, Responsabilidade Civil. Cinquenta Anos em Portugal, Quinze Anos no Brasil, vol. II, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2018, pp. 96-98.
[28] Brendan Van Alsenoy, “Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation” [em linha] in Journal of Intellectual Property, Information Technology and E-Commerce Law, Ano 7, Vol. 3 (2016), disponível in https://www.jipitec.eu/issues/jipitec-7-3-2016/4506 (12.10.2024), p. 282, parágrafo 41, Gabriela Zanfir-Fortuna, “Comentário ao art. 82.º do RGPD” in Kuner, Christopher / Bygrave Lee, A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, p. 1176 e, entre nós,Henrique Sousa Antunes, “A Responsabilidade”…, pp. 127-135.
[29] Sublinhado nosso.
[30] O tribunal acabou por não se pronunciar expressamente quanto ao entendimento do Advogado-Geral Pitruzella quanto ao art. 82.º. n.º 3 do RGPD, de acordo com o qual (v., em especial, os parágrafos 62 e 63 das conclusões do Advogado-Geral Pitruzella no processo C-340/21 disponíveis in https://curia.europa.eu/juris/document/document.jsf?text=&docid=272977&pageIndex=0&doclang=PT&mode=req&dir=&occ=first&part=1&cid=2058986#Footnote23 ) (12.10.2024), esta norma prevê “[…] uma forma de inversão do ónus da prova da culpa do infrator […]”.
[31] O considerando 7 do RGPD dispõe o seguinte: “[e]sta evolução [a rápida evolução tecnológica referida no consideranto 6] exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas”.
[32] Parágrafo 73 das conclusões do Advogado-Geral Sánchez-Borbona no processo C-667/21 disponíveis in https://curia.europa.eu/juris/document/document.jsf?text=&docid=274110&pageIndex=0&doclang=PT&mode=lst&dir=&occ=first&part=1&cid=2059771#Footnote78 (12.10.2024).
[33] Henrique Sousa Antunes, “A Responsabilidade”…, pp. 131-134
[34] Parágrafos 74 a 78 e, em especial, parágrafo 77 das conclusões do Advogado-Geral Sánchez-Borbona no processo C-667/21.
[35] V., por todos, Brendan Van Alsenoy, “Liability under EU Data Protection Law”…, p. 273, parágrafo 6. Para além disso, e ainda ao nível do elemento histórico quanto à interpretação do RGPD, v. as conclusões do Advogado-Geral Sánchez-Borbona no processo C-667/21, designadamente, os parágrafos 82, onde se rerefe que em documentos preparatórios do conselho se menciona o facto de o modelo previsto de responsabilidade civil se configurar como um modelo de responsabilidade independente de culpa (“strict liabiliy”), 83, onde se aponta para o facto de ter sido rejeitada uma alteração sugerida na Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento pela qual se passaria a exigir a verificação de dolo ou negligência para haver obrigação de indemnizar e, em especial, os parágrafos 84 e 85 nos quais se indica que o texto de compromisso apresentado pela presidência do Conselho acabaria por seguir um modelo de responsabilidade civil descrito como mais próximo mas certamente não idêntico a um modelo de responsabilidade civil assente na culpa,.
[36] Mafalda Miranda Barbosa, “Data controllers e data processors”..., p. 439. Reconhecendo os perigos a que os direitos e liberdades dos titulares dos dados podem estar sujeitos por força das operações de tratamento, o RGPD obriga os controllers a terem sempre em conta os riscos que possam resultar da sua atuação para esses mesmos direitos e liberdades e a adotarem as medidas técnicas e organizativas adequadas (arts. 5.º, n.º 2, 24.º, n.º 1 e considerandos n.ºs 74-77). Sobre a risk based approach e o seu acolhimento ao nível do RGPD, v. Denis Kelleher / Karen Murray, EU…, pp. 265-289.
[37] Parágrafo 98 das conclusões do Advogado-Geral Sánchez-Borbona no processo C-667/21
[38] Uma das razões pelas quais o RPT se distingue do subcontratante de acordo com o CEPD, Orientações…, p. 57, prende-se com o facto de o primeiro obter um benefício ou ter um interesse específico no tratamento dos dados, para lá da sua remuneração pelos serviços prestados.
[39] Sobre a teoria do risco, v. Cláudia Madaleno, A Responsabilidade Obrigacional Objetiva por Facto de Outrem [em linha], tese de Doutoramento apresentada na Faculdade de Direito da Universidade de Lisboa, 2014, disponível in https://repositorio.ul.pt/handle/10451/22242 (12.10.2024), pp. 974-981. Reconhecendo na teoria do risco o fundamento para a consagração de uma responsabilidade objetiva independente de culpa nos ordenamentos jurídicos contemporâneos, v. Almeida Costa, Direito das Obrigações, 12.ª edição, Coimbra, Almedina, 2009, pp. 528-530 e 613-614.
[40] Neste sentido, Henrique Sousa Antunes, “A Responsabilidade”…, pp. 134-135. E não se diga que pelo facto de o RGPD exigir a verificação de uma situação de ilicitude para que surja uma obrigação de indemnizar, que terá de se verificar também a existência de culpa, uma vez que ilicitude e culpa são conceitos distintos pelo que nada impede que existam hipóteses de responsabilidade civil com base na prática de um facto ilícito, mas não culposo – neste sentido, v. Almeida Costa, Direito…, p. 612 e, em especial, n. (1), onde o autor afirma que as situações de responsabilidade objetiva podem ter origem em factos lícitos ou ilícitos.
[41] Henrique Sousa Antunes, “A Responsabilidade”… p. 134.
[42] Art. 4.º, n.º 7 do RGPD.
[43] Art. 82.º, n.º 2 do RGPD.
[44] Francisco Rodrigues Rocha, “Comentário ao art. 28.º do RGPD”…p. 255.
[45] Henrique Sousa Antunes, “A Responsabilidade”…, p. 131. Importa desde já assinalar que o objeto de estudo do nosso estudo, a responsabilidade objetiva do RPT por facto do subcontratante, não se confunde com a responsabilidade do controller emergente de um facto lesivo imputável a um subcontratante que não apresente garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma a assegurar a defesa dos direitos dos titulares dos dados (art. 28.º, n.º 1 do RGPD). Nesta hipótese o que estará verdadeiramente em causa é uma situação responsabilidade do controller por factos próprios, i.e., pelo incumprimento do disposto no art. 28.º, n.º 1 do RGPD, respondendo por culpa in eligendo. Distinguindo entre responsabilidade objetiva por facto de terceiro e responsabilidade subjetiva por facto próprio resultante de um dano provocado por um terceiro, v. Antunes Varela, Das obrigações…, vol. I, p. 645. Nestes casos poderá o RPT afastar a sua responsabilidade provando que o subcontratante estaria obrigado a observar o disposto num código de conduta ou num procedimento de certificação aprovados (arts. 40.º a 43.º do RGPD) uma vez que, nestas hipóteses, se considera existir um elemento que permite demonstrar que o controller cumpriu com as exigências do regulamento em matéria de garantias, conforme resulta do n.º 5 do art. 28.º.
[46] Neste sentido, v. Mafalda Miranda Barbosa, “Data controllers e data processors”..., p. 461. A responsabilidade do comitente por atos do comissário é regulada, em Portugal, pelo art. 500.º do CC. Na jurisprudência, equacionou-se a aplicação deste regime a um caso em que uma sociedade comercial tinha encomendado a outra a produção de um vídeo promocional, que foi divulgado no YouTube por esta última, no qual apareciam imagens de uma criança sem que tivesse sido obtido o consentimento dos seus representantes legais — v. o acórdão do TRL de 8/7/2021, processo n.º 174/20.4T8PDL.L1-6. Contudo, o tribunal afastou a aplicação do regime do art. 500.º na medida em que considerou que, no caso, não estavam verificados os pressupostos necessários para se poder falar de uma relação de comissão.
[47] V., neste sentido, o considerando n.º 146 do RGPD, onde se escreve que “[o]s titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. Sempre que os responsáveis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles deverá ser responsabilizado pela totalidade dos danos causados […]”. Sobre a noção de solidariedade passiva nas obrigações e sobre a sua importância para a tutela dos credores, v., por todos, Almeida Costa, Direito…, pp. 666-685 e, em particular, pp. 669-670.
[48] Art. 82.º, n.º 4 do RGPD. No n.º 5 deste artigo regula-se o direito de regresso do RPT ou do subcontratante que tenha pago integralmente a indemnização estipulada. Defendendo também o carácter solidário desta responsabilidade, Denis Kelleher / Karen Murray, EU…, p. 257 e 380-381, A. Barreto Menezes Cordeiro, “Da Responsabilidade Civil pelo Tratamento de Dados Pessoais”…, pp. 53-54 e Gabriela Zanfir-Fortuna, “Comentário ao art. 82.º do RGPD”…, pp. 1176-1177.
[49] Uma relação de comissão consiste numa relação de dependência entre as partes que autoriza uma delas (o comitente) a dar ordens ou instruções à outra (o comissário) relativas a atividades ou serviços realizados por esta – v., por todos, Antunes Varela, Das obrigações…, vol. I, p. 640. Entendida desta forma, poder-se-á considerar que a relação que se estabelece entre controller e processor consiste numa relação de comissão. De facto, como referimos supra, no capítulo 2, está em causa, nestas hipóteses, uma situação em que um sujeito, o subcontratante, atua por conta de outro, o RPT, praticando atos de diversa índole (arts. 4.º, n.º 8 e 28.º do RGPD) devendo, no entanto, observar as instruções da contraparte no desenvolvimento da sua atividade (art. 29.º do RGPD).
[50] Neste sentido, Antunes Varela, Das obrigações…, vol. I, p. 644 e Pedro Nunes de Carvalho, “A responsabilidade do comitente” in Revista da Ordem dos Advogados, Ano 48, Vol. I (Abril de 1988), pp. 97-105.
[51] V., entre outros, os acórdãos do STJ de 2/03/2006, processo n.º 05B4091 e do TRL de 12/03/2015, processo n.º 9119-08.9TMSNT.L1-6. Estes acórdãos bem como as demais decisões dos tribunais portugueses citadas ao longo do presente estudo, encontram-se disponíveis in http://www.dgsi.pt/ .
[52] E acreditamos que com o entendimento acolhido pelo TJ no já citado acórdão de 21/12/2023 no processo C-667/21 “Krankenversicherung Nordrhein” essa posição se veio a fragilizar ainda mais, uma vez que, considerando-se que o art. 82.º acolhe um modelo de presunção de culpa, caso o subcontratante consiga ilidir tal presunção, os titulares dos dados pessoais não poderão ser ressarcidos.
[53] Apesar de reconhecermos a complexidade da questão (cuja análise completa necessitaria de um estudo autónomo), inclinamo-nos para acompanhar a posição de Nuno Morais, “A responsabilidade objectiva do comitente por facto do comissário (A análise do art. 500.º do Código Civil – seus pressupostos e regime)” in Julgar, n.º 6 (2008), pp. 59-64, que distingue entre as normas relativas aos pressupostos da responsabilidade do comitente por facto do comissário (n.ºs 1 e 2 do art. 500.º) por um lado e, por outro, a norma referente à solidariedade passiva de ambos quanto à obrigação de indemnizar e ao direito de regresso do comitente sobre o comissário (n.º 3). Assim, de acordo com este autor, para que o comitente tenha de responder por ato do comissário, basta que recaia sobre este a obrigação de indemnizar, seja por facto lícito, ilícito ou em virtude de responsabilidade objetiva. No entanto, quando o comissário tenha atuado de forma lícita ou de forma ilícita mas sem culpa, não se poderá aplicar o disposto no n.º 3 do art. 500.º, pelo que apenas o comitente responderá perante o lesado, não possuindo qualquer direito de regresso sobre o comissário. Esta é uma solução que sendo justa para o comissário, na medida em que não lhe impõe o encargo de suportar uma indemnização por danos causados sem culpa sua no âmbito de uma atividade realizada essencialmente no interesse do comitente e sob as respetivas ordens e instruções, assegura ainda a tutela do lesado que poderá exigir o ressarcimento dos danos que tenha sofrido ao sujeito que efetivamente retira o proveito da atividade no âmbito da qual os mesmos foram provocados, ou seja, ao comitente. Defendendo a aplicação do art. 500.º aos casos em que o comissário atue sem culpa, v. também, Almeida Costa, Direito…, pp. 617-618, n. (2), Maria Da Graça Trigo, Responsabilidade Civil Delitual por Facto de Terceiro, Coimbra, Coimbra Editora, 2009, pp. 305-307 ou Menezes Cordeiro, Tratado…, vol. II, Tomo III, pp. 613-614.
[54] Seguindo esta posição, v., entre outros, Antunes Varela, Das obrigações…, vol. I, pp. 642-643 ou Pedro Nunes de Carvalho, “A responsabilidade do comitente”…, pp. 106-113. Na jurisprudência, v. os acórdãos do STJ de 26/03/2014, processo n.º 897/06.0TAOVR.P1.S1 e do TRC de 6/10/2009, processo n.º 642/04.5TBSEI.C2.
[55] Gabriela Zanfir-Fortuna, “Comentário ao art. 82.º do RGPD”…, p. 1176 e Henrique Sousa Antunes, “A Responsabilidade”…, pp. 130-135 e 143.
[56] Brendan Van Alsenoy, “Liability under EU Data Protection Law”…, pp. 276-277 e 283-284.
[57] Na doutrina portuguesa, autores como Menezes Cordeiro, Tratado…, vol. II, Tomo III, pp. 614-615 ou Menezes Leitão, Direito…, 2018, p. 369, defendem uma leitura do art. 500.º do CC à luz desta interpretação mais ampla. No entanto, não nos parece o melhor entendimento. Com efeito, como bem nota Henrique Sousa Antunes, “A Responsabilidade”…, pp. 145-146, o art. 503.º do CC (que regula a responsabilidade civil por danos causados por veículos) indicia que a posição adotada no nosso ordenamento jurídico para estas hipóteses é diversa. Nesta norma, o legislador afasta a responsabilidade objetiva do comitente por facto do comissário pelos danos causados por este com a condução de um veículo fora do exercício das suas funções (art. 503.º, n.º 3). Com a previsão, nestas hipóteses, de uma responsabilidade própria do comissário, de carácter objetivo, o legislador tornou clara a sua opção — atuando o comissário para lá das suas funções (e do seu quadro geral de competência), o comitente não deverá responder pelos atos daquele, pelo que se conclui que, à luz de uma interpretação sistemática, a existência de uma atividade do comissário que extravase o seu quadro geral de competência, ainda que remotamente relacionada com o âmbito das suas funções (nomeadamente por estar em causa um veículo detido pelo comitente), determina, de acordo com a lei portuguesa, o afastamento da responsabilidade do comitente.
[58] Concretização prática das diferentes perspetivas seguidas neste âmbito pelo RGPD e pela lei portuguesa, verifica-se ao nível da responsabilização do subcontratante que passe a ser considerado RPT por determinar os meios e os fins do tratamento (art. 28.º, n.º 10 do RGPD). É pelo facto de o RGPD seguir neste âmbito uma perspetiva distinta que, nestas hipóteses, se poderá demandar não só o novo controller (anterior subcontratante) mas também o primitivo controller que responderá solidariamente pelos danos causados. Neste sentido, v. Denis Kelleher / Karen Murray, EU…, p. 260 e Henrique Sousa Antunes, “A Responsabilidade”…, p. 146. No mesmo sentido, mas fundamentando esta possibilidade não no próprio regime do RGPD mas na aplicação do regime da responsabilidade do comitente por facto do comissário, seguindo um entendimento distinto do pressuposto da causalidade, Mafalda Miranda Barbosa, “Data controllers e data processors”..., pp. 457-461.
[59] Para desenvolvimentos sobre os pressupostos apontados pela doutrina para a aplicação do art. 800.º, v. Maria Victória Rocha, “A imputação objetiva na Responsabilidade Contratual”, Revista de Direito e Economia, ano XV, 1989, pp. 83-100.
[60] O art. 6.º, n.º 1, al. b) do RGPD prevê como fundamento de licitude do tratamento de dados a necessidade do tratamento para a execução de um contrato no qual o titular dos dados seja parte. Sobre este específico fundamento de licitude de tratamento dos dados, v. Agência dos Direitos Fundamentais da União Europeia [et. al.] Handbook on European Data Protection Law [em linha], Luxemburgo, Serviços de Publicações da União Europeia, 2018, disponível in https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law-2018-edition (12.10.2024), p. 151 e A. Barreto Menezes Cordeiro, Direito…, pp. 207-212.
[61] Neste sentido, v., entre outros, Antunes Varela, Das obrigações em geral, vol. II, 7.ª Edição, Coimbra, Almedina, 1997, pp. 103-104, Mafalda Miranda Barbosa, “Data controllers e data processors”..., p. 474 e Brandão Proença, Lições de cumprimento e não cumprimento das obrigações, 3.ª Edição, Porto, Universidade Católica Editora, 2019, pp. 328-329. De acordo com este autor, o art. 800.º não estabelece uma “responsabilidade plenamente objetiva” do devedor. Tendo em conta que a lei prevê que o devedor responderá “como se tais atos fossem praticados pelo próprio”, Brandão Proença considera que se no âmbito contratual a responsabilidade do devedor depende de culpa, então, caso o devedor decida recorrer a outras pessoas para o cumprimento da obrigação, só deverá responder se essas pessoas tiverem também atuado com culpa. Esta conclusão decorre da ideia de que, com o disposto no art. 800.º n.º 1 do CC, o legislador não pretendeu criar um regime mais benéfico para os credores nem mais prejudicial para os devedores que aquele que se aplicaria em resultado da própria atuação pessoal do devedor. Contra esta posição, defendendo que não é necessário que se verifique a culpa dos representantes ou dos auxiliares no cumprimento para que haja responsabilidade do devedor, v. Carneiro Da Frada, Contrato e deveres de proteção, Separata do vol. XXXVIII do Suplemento ao Boletim da Faculdade de Direito da Universidade de Coimbra, Coimbra, 1994, pp. 209-217.
[62] Indiciando também esta conclusão, Henrique Sousa Antunes, “A Responsabilidade”…, p. 126, n. (9). Recordamos uma vez mais o disposto no art. 82.º, n.º 3 do RGPD que determina que controller e processor só não terão uma obrigação de indemnizar se provarem que não são “de modo algum” responsáveis pelo evento que deu origem aos danos o que determina que o RPT poderá ter de responder solidariamente com o subcontratante por facto que lhe seja atribuível, ainda que este último tenha atuado sem culpa.
[63] Parágrafos 87 a 89 e 93 das conclusões do Advogado-Geral Sánchez-Borbona no processo C-667/21.
[64] Considerandos n.ºs 7, 10 e 11 do RGPD.
[65] Neste sentido, Brendan Van Alsenoy, “Liability under EU Data Protection Law”…, p. 283, parágrafo 44.
[66] Conforme resulta do considerando n.º 146 do RGPD, o conceito de dano deverá ser interpretado de acordo com a jurisprudência do TJ. Em matéria de responsabilidade civil no âmbito do Direito da Proteção de Dados foram já proferidas várias decisões quanto à matéria do dano destacando-se na jurisprudência europeia, para além dos já citados acórdãos do TJ de 14/12/2023 no processo C-340/21 e de 21/12/2023 no processo C-667/21, os acórdãos do TJ de 4/05/2023, no processo C-300/21, “Österreichische Post” e de 25/01/2024, no processo C-687/21, “MediaMarktSaturn”. Quanto a esta controvérsia matéria que, pela sua complexidade e extensão não analisaremos no presente trabalho, v. Catarina Valente, O dano na responsabilidade civil por violação do Regulamento Geral de Proteção de Dados [em linha], Dissertação de Mestrado em Direito na Escola do Porto Faculdade de Direito da Universidade Católica Portuguesa, Porto, 2023, disponível in https://repositorio.ucp.pt/bitstream/10400.14/41881/1/203332270.pdf (13.10.2024), obra na qual a autora apresenta também uma abrangente análise da jurisprudência relevante sobre esta matéria (incluindo a que citamos na presente nota).
[67] E não se diga que os controllers não poderão ser responsabilizados objetivamente pelos atos dos processors em Portugal porque, para efeitos do art. 493.º, n.º 2 do CC, não existe norma específica que preveja, para estes casos, uma obrigação de indemnizar independentemente de culpa. É que Portugal é um Estado-membro da União Europeia e o RGPD reveste a forma de regulamento, ato jurídico da União Europeia que, nos termos do art. 288.º do Tratado sobre o Funcionamento da União Europeia é obrigatório em todos os seus elementos e goza de aplicação direta em todos os Estados-membros. Para além disso, o art. 8.º, n.º 4 da Constituição da República Portuguesa determina de forma clara que as normas emanadas das instituições da União Europeia no exercício das respetivas competências, são aplicáveis na ordem interna, nos termos definidos pelo direito da União, pelo que nos parece que o próprio art. 82.º do RGPD é fundamento legal suficiente para sustentar a aplicação de um modelo de responsabilidade objetiva nestas hipóteses, sem que seja necessário, para esses efeitos, recorrer a um dos regimes (designadamente o do art. 500.º) que se encontram previstos no CC. Neste sentido, v. Henrique Sousa Antunes, “A Responsabilidade”…, pp. 155-156 (conclusões n.ºs 18 e 21 a 24). Considerando que o art. 82.º do RGPD é aplicável diretamente nas ordens jurídicas dos Estados-membros, sem que os lesados tenham, por isso, de invocar qualquer disposição legal de Direito nacional para poderem exigir a reparação dos seus danos, v., muito claramente, Jonas Knetsch, “The compensation of non-pecuniary loss in GDPR infringement cases” [em linha] in European Journal of Privacy Law & Technologies (2020), disponível in https://universitypress.unisob.na.it/ojs/index.php/ejplt/article/view/1128/368 (13.10.2024) pp. 66-67.
