A responsabilidade civil do responsável pelo tratamento de dados por facto do subcontratante

1. Introdução 
Responsável pelo tratamento de dados[1] e subcontratante[2] são dois dos sujeitos que podem assumir um papel relevante no âmbito das operações de tratamento de dados pessoais[3]. No presente estudo procuraremos analisar os fundamentos e o alcance da responsabilidade civil do data controller por facto imputável a um data processor que, com a sua atuação, ponha em causa as normas legais de proteção de dados pessoais. 
 
 
2. Responsável pelo tratamento e subcontratante – breves noções e qualificação da sua relação
No art. 4.º, n.º 7, do Regulamento Geral sobre a Proteção de Dados[4] encontra-se prevista a noção de RPT adotada pelo legislador europeu[5]. Desta norma resulta, desde logo, que uma multiplicidade de sujeitos podem assumir o papel de data controller[6]. Essencial é que, independentemente do sujeito que desempenhe estas funções, os fins e os meios do tratamento dos dados pessoais sejam determinados por ele[7].
Já a figura do subcontratante encontra-se definida no art. 4.º, n.º 8, do RGPD[8]. Tal como o que sucede com a figura do RPT, são também diversos os sujeitos que podem assumir a posição de processors[9]. O aspeto fundamental da distinção entre subcontratante e RPT é o facto de aquele atuar por conta deste, o que essencialmente se traduz na impossibilidade de o subcontratante determinar as finalidades das operações de tratamento, papel esse que caberá ao RPT. Por esta razão, o art. 28.º, n.º 10 do RGPD estabelece que o subcontratante que determine as finalidades e os meios de um determinado tratamento de dados, será considerado RPT para efeitos dessa operação – o que releva é o critério material da definição das finalidades, pelo que um sujeito que num determinado contexto seja formalmente designado de “subcontratante” poderá ser considerado RPT, sendo-lhe aplicável o respetivo regime, desde que se prove que era ele quem, de facto, determinava as finalidades e os meios de uma determinada operação de tratamento[10].
A relação que se estabeleça entre o subcontratante e o RPT deverá ser regulada por contrato ou por outro ato normativo vinculativo[11]. Apesar de a qualificação jurídica dessa mesma relação se revelar uma tarefa difícil[12], tendemos para afirmar que estará aqui em causa um subcontrato[13] no âmbito de uma relação de prestação de serviços[14].


3. A responsabilidade civil do responsável pelo tratamento por facto do subcontratante
De acordo com o art. 82.º, n.º 1 do RGPD, as pessoas lesadas pela violação das normas contidas no regulamento têm direito a uma indemnização pelos danos sofridos que deverá ser prestada pelo RPT ou pelo subcontratante. 
No presente capítulo, e seguindo a clássica distinção entre responsabilidade extracontratual (também designada de delitual ou aquiliana) e responsabilidade obrigacional (âmbito em que se destaca a responsabilidade contratual)[15], procuraremos abordar de forma mais desenvolvida a problemática da responsabilidade civil do controller por facto imputável ao processor, com particular foco nas questões respeitantes à responsabilidade extracontratual[16].
Para que surja na esfera de um sujeito uma obrigação de indemnizar os danos sofridos por outrem, deverão verificar-se, como aponta a doutrina, os seguintes pressupostos: facto voluntário do agente, ilicitude, culpa, dano e nexo de causalidade entre o facto e o dano[17]. No que diz respeito à responsabilidade civil no âmbito do Direito da Proteção de Dados, as principais questões surgem, a nosso ver, quanto aos pressupostos da ilicitude e da culpa.
Em relação à ilicitude, conforme resulta do art. 483.º, n.º 1 do CC destacam-se duas modalidades fundamentais[18]: a violação de direitos subjetivos (absolutos) de outrem[19] e a violação de normas de proteção[20]. Do nosso ponto de vista, ambas as modalidades de ilicitude assumem relevo ao nível da responsabilidade civil no âmbito do Direito da Proteção de Dados.
Quanto à primeira modalidade, parece-nos claro que a proteção de dados tem um papel determinante na salvaguarda de diversos direitos de personalidade, desde logo o próprio direito à proteção de dados pessoais, mas também direitos como o direito à privacidade, à identidade ou à honra[21].
Já relativamente à segunda modalidade, é do próprio n.º 1 do art. 33.º da Lei n.º 58/2019, de 8 de Agosto, que se retira que a violação de normas de proteção poderá ser fonte de responsabilidade civil neste âmbito quando estabelece que quem “[…] tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido”[22]. Poderão, assim, ser fundamento da obrigação de indemnizar não só as situações de violação de direitos dos titulares de dados pessoais, mas também a própria a inobservância das disposições do RGPD e da lei nacional de proteção de dados que estejam relacionadas com as atividades desenvolvidas pelos controllers e pelos processors[23].
Esta conclusão — ou seja, o entendimento de que poderão ser convocadas para este tipo de hipóteses ambas as modalidades de ilicitude — não é inócua, assumindo relevantes consequências práticas, desde logo porque, como lembra Mafalda Miranda Barbosa, o recurso à segunda modalidade de ilicitude permite “[…] alargar o leque de interesses tutelados, podendo-se proteger aqueles que não correspondem à atribuição de uma posição dotada de eficácia erga omnes […]”[24].
No que respeita à matéria da culpa[25], ocupa posição central o disposto no art. 82.º, n.º 3 do RGPD. Decorre desta norma que o RPT ou o subcontratante poderão afastar a sua responsabilidade caso provem não serem de modo algum responsáveis pelo evento que deu origem aos danos. A interpretação desta norma tem gerado opiniões diversas na doutrina, existindo autores que consideram estar aqui em causa uma presunção de culpa[26], autores que entendem que esta norma consagra uma presunção de faute[27] e autores que retiram daqui a consagração de uma responsabilidade objetiva[28]. Esta divisão acabou por se refletir ao nível do TJ que, em dezembro de 2023, proferiu três acórdãos que parecem apontar para entendimentos diversos nesta matéria.
No dia 14 de dezembro foram proferidos os acórdãos relativos ao processo C-456/22, “Gemeinde Ummendorf” e ao processo C-340/21, “Natsionalna agentsia za prihodite”, nos quais o tribunal parece acolher o entendimento de que a responsabilidade civil no âmbito do RGPD não depende da existência de culpa. 
Com efeito, no parágrafo 14 do acórdão “Gemeinde Ummendorf”, o TJ refere de forma clara que a existência de um dano ou de um prejuízo, a existência de uma violação do RGPD e de um nexo de causalidade entre esse dano e essa violação são os requisitos “[…] necessários e suficientes […]”[29] para se ter direito a uma indemnização nos termos do art. 82.º do RGPD. 
Já no acórdão “Natsionalna agentsia za prihodite”, num caso em que tinha havido lugar a uma violação de dados pessoais por cibercriminosos (ou seja, por terceiros tal como definidos no art. 4.º, n.º 10 do RGPD), considerou-se que “[…] o responsável pelo tratamento não pode ficar isento da sua obrigação de reparar o dano sofrido por uma pessoa, nos termos do artigo 82.^o, n.^os 1 e 2 […] pelo simples facto de esse dano resultar de uma divulgação ou acesso não autorizados a dados pessoais por «terceiro[s]», na aceção do artigo 4.^o, ponto 10 […] devendo então o referido responsável provar que não é de modo nenhum responsável pelo evento que deu origem aos danos” (parágrafo 74). 
Quanto a este aspeto, o tribunal parece apontar que o critério para que o RPT possa afastar a sua responsabilidade reside não no plano da culpa[30] mas sim no do nexo de causalidade, assumindo um entendimento bastante exigente: “[…] no caso de uma violação de dados pessoais cometida por um terceiro, o responsável pelo tratamento pode ficar isento de responsabilidade, com base no artigo 82.^o, n.^o 3, do RGPD, provando que não existe um nexo de causalidade entre qualquer violação da sua obrigação de proteção de dados e o dano sofrido pelo indivíduo” (parágrafo 72).
No entanto, a 21 de dezembro, no acórdão relativo ao processo C-667/21, “Krankenversicherung Nordrhein”, o TJ viria a decidir de forma clara que “[…] a responsabilidade do responsável pelo tratamento está subordinada à existência de culpa, a qual se presume a menos que este último prove que o facto que provocou o dano não lhe é de modo nenhum imputável […]” (parágrafo 85). O tribunal afastou a hipótese de o RGPD prever um modelo de responsabilidade objetiva afirmando simplesmente que tal “[…] não asseguraria a realização do objetivo de segurança jurídica visado pelo legislador, como resulta do considerando 7 do RGPD” (parágrafo 100)[31].
Para além de representar uma alteração em relação àquela que nos pareceu a tendência das anteriores decisões do tribunal, este acórdão contrariou também as conclusões do Advogado-Geral Sánchez-Borbona apresentadas nesse processo onde se conclui, de forma que nos parece particularmente bem fundamentada, que “[…] a leitura do artigo 82.^o, n.^o 1, do RGPD, no sentido de que institui um regime de responsabilidade civil alheia à culpa do gestor [sic] do tratamento é conforme com a sua redação, encontra apoio imediato nos trabalhos preparatórios e, sobretudo, favorece a finalidade da norma […]”, sendo também “[…] aceitável à luz de outros números da disposição, bem como do sistema considerado no seu conjunto”[32]. Tendemos a aderir a esta última posição. 
Neste sentido, destaca-se, desde logo, tal como aponta Henrique Sousa Antunes[33], o elemento literal: o considerando n.º 146 do RGPD remete para uma responsabilidade por “quaisquer danos” e o art. 82.º, n.º 3 só exonera o agente da obrigação de indemnizar quando este prove não ter sido responsável “de modo algum” pelos danos causados. 
A este propósito, conforme indica o Advogado-Geral Sánchez-Borbona, é elucidativa a comparação entre a letra do art. 82.º relativo à responsabilidade civil e onde não há quaisquer referências à intenção ou culpa e a do art. 83.º, que respeita às condições gerais para a aplicação de coimas, e no qual se determina expressamente que na decisão sobre a aplicação e o montante da coima em cada caso deve ser tido em devida consideração o carácter intencional ou negligente da infração (art. 83.º, n.º 2, al. b) do RGPD)[34], o que parece apontar no sentido de que o legislador europeu pretendeu distinguir o regime aplicável à responsabilidade civil do regime aplicável à responsabilidade contraordenacional no quadro do RGPD.
Para além disso, a doutrina defendia já à luz do Direito anteriormente vigente (nomeadamente do art. 23.º da Diretiva 95/46) que a responsabilidade civil neste âmbito teria carácter objetivo: de facto, o disposto no considerando n.º 55 deste diploma, de acordo com o qual a exoneração da responsabilidade seria admitida apenas quando o agente provasse que o facto não lhe era imputável por existir responsabilidade do próprio lesado ou um caso de força maior apontava também nesse sentido, na medida em que se referia a causas de afastamento da responsabilidade que nada tinham que ver com a culpa dos agentes[35].
Com efeito, a partir do momento em que um determinado sujeito é incumbido de lidar com dados alheios, assume uma esfera de risco devendo, por isso, adotar as medidas de cuidado adequadas para assegurar que não se produzirão danos na esfera do titular dos dados[36]. Como refere o Advogado-Geral Sánchez-Borbona “[o] legislador europeu assume que o tratamento de dados pessoais possa ser fonte de riscos. Exige que os agentes envolvidos no tratamento avaliem esses riscos e tomem e atualizem medidas adequadas para prevenir e minimizar os riscos que tenham identificado”[37].
Se um agente cria ou mantém uma esfera de risco em benefício próprio[38] (tal como acontece nas operações de tratamento de dados), deverá suportar as consequências prejudiciais que daí advenham. É nisto que consiste a teoria do risco que serve, precisamente, de fundamento típico para a aplicação do instituto da responsabilidade objetiva[39].
Nesse sentido, acreditamos que a fundamentação dogmática relativa à teoria do risco a que acabámos de aludir vale também no âmbito das operações de tratamento de dados, pelo que, também por isso, consideramos que a responsabilidade civil extracontratual do RPT por facto próprio ou por facto do subcontratante terá de assumir, no quadro do Direito da Proteção de Dados, carácter objetivo[40].
Esse carácter objetivo verifica-se também ao nível da responsabilidade do RPT por facto do subcontratante. Um controller que opte por recorrer a um processor para a execução de operações de tratamento de dados pessoais, não se poderá alhear dos danos que esse processor cause[41].
Com efeito, a definição dos fins e dos meios do tratamento caberá ao RPT[42], limitando-se a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do RGPD ou que tenham origem na inobservância das instruções emitidas pelo RPT de forma lícita[43].
Assim, é o RPT que, optando por recorrer a um subcontratante para realizar o tratamento dos dados, cria, através da introdução de um novo sujeito na operação de tratamento, um novo risco de surgimento de uma lesão dos direitos dos titulares dos dados, risco esse do qual procurará retirar uma vantagem. 
De facto, como aponta Francisco Rodrigues Rocha, a subcontratação é economicamente vantajosa para o RPT, permitindo-lhe aumentar a sua capacidade de tratamento sem que isso se traduza numa alienação definitiva do seu direito sobre os dados e sem os custos associados a um aumento do número de colaboradores a seu cargo ou a uma sobrecarga de trabalho[44], verificando-se, uma vez mais, uma situação subsumível à teoria do risco. De tudo isto resulta que a responsabilidade do RPT por facto do subcontratante terá de ser uma responsabilidade objetiva[45].
Regime paradigmático no âmbito da responsabilidade objetiva por facto de terceiro é o da responsabilidade civil do comitente pelos danos causados pelo comissário. A aplicação deste regime à relação estabelecida entre controllers e processors foi já defendida pela doutrina portuguesa[46].
O nosso entendimento é, no entanto, diverso. Como tivemos já a oportunidade de referir, com o RGPD, o legislador europeu procurou assegurar a mais abrangente tutela dos titulares dos dados pessoais[47], tendo aliás previsto um modelo de responsabilidade civil que, nos casos de pluralidade de agentes lesantes, tem como regra a solidariedade[48].
Ora, muito embora se possa considerar que entre controller e processor se estabelece uma relação de comissão[49], parece-nos que existem pressupostos de aplicação do regime da responsabilidade do comitente por atos do comissário que, pelo menos nos termos em que consideramos que esse regime deve ser entendido em Portugal, se podem revelar incompatíveis com aquele que é o modelo de responsabilidade civil que entendemos ter sido adotado ao nível do RGPD.
O art. 500.º, n.º 1 do CC estabelece que para que o comitente responda por atos do comissário é necessário que recaia sobre este último uma obrigação de indemnizar. Esta norma tem sido interpretada, de acordo com a doutrina clássica, no sentido de que o comitente só poderá ser responsabilizado por facto imputável ao comissário quando este tenha praticado um ato ilícito e culposo[50].
Caso se seguisse este entendimento — que teve, aliás, já o acolhimento da jurisprudência portuguesa[51] — o RPT só poderia ser responsabilizado solidariamente por facto do subcontratante nas hipóteses em que se verificasse uma atuação culposa na esfera deste último. Esta solução restringiria, assim, fortemente a posição dos titulares dos dados que o legislador europeu procurou tutelar com o regime de responsabilidade estabelecido no RGPD, uma vez que, nos casos em que o subcontratante atuasse sem culpa, apenas este poderia ser demandado, não existindo fundamento para se exigir o pagamento de uma indemnização pelo RPT. Esta fragilização seria acentuada pelo facto de o art. 82.º, n.º 2 do RGPD limitar a responsabilidade do processor aos danos que resultem do não cumprimento das obrigações que a ele especificamente se apliquem nos termos do regulamento ou da inobservância das instruções lícitas do RPT[52].
No entanto, ainda que se adote uma posição diversa a este respeito – para a qual tendemos[53] – não é este o único pressuposto do regime previsto no art. 500.º que levanta dúvidas neste âmbito. Com efeito, para que o comitente responda objetivamente pelos atos do comissário é também essencial que o facto lesivo tenha sido praticado por este no exercício das suas funções, ainda que intencionalmente ou contra as instruções daquele (art. 500.º, n.º 2 do CC). 
A doutrina clássica defende, a este respeito, que o comitente responderá pelos factos lesivos levados a cabo pelo comissário apenas quando esses factos sejam praticados dentro do âmbito do quadro geral de competência deste último, i.e., quando a conduta lesiva do comissário resulte do facto de este se encontrar, por força da específica configuração da relação de comissão, numa posição especialmente adequada para a prática de um facto lesivo, tornando, assim, a ocorrência de danos mais previsível no âmbito do exercício da sua função[54].
Da leitura do RGPD não resultam, no entanto, quaisquer elementos que permitam restringir a responsabilidade do controller por facto do processor apenas às hipóteses em que se verifique que os danos produzidos por este último são resultado de uma atuação dentro do seu quadro geral de competência. Pelo contrário, conforme tivemos já oportunidade de referir, o modelo de responsabilidade civil no âmbito do RGPD possui um alcance bastante abrangente, no âmbito do qual a obrigação de indemnizar só pode ser afastada em situações excecionais.
Com efeito, o art. 82.º, n.º 3 do regulamento é claro quando estabelece que o RPT ou o subcontratante só ficarão isentos de responsabilidade se provarem que não são “de modo algum” responsáveis pelo facto lesivo, independentemente de esse facto estar ou não relacionado com o concreto quadro geral de competência do processor[55]. Isto significa que, como refere Brendan Van Alsenoy, para que o RPT se exonere da sua responsabilidade terá de provar que os danos provocados ao lesado foram resultado de um evento que não lhe possa ser imputado, ou seja, de um evento que não poderia ter sido evitado pelo controllercom recurso a medidas razoáveis, não correspondendo, assim, a uma concretização do risco próprio da sua atividade[56].
Uma vez mais se verifica, assim, um conflito entre aquela que entendemos ser a melhor interpretação a dar ao RGPD e a melhor interpretação para o regime previsto no art. 500.º do CC: enquanto que, à luz do RGPD, para que se responsabilize o RPT é suficiente que os danos sejam causados pela conduta do subcontratante no exercício da sua função, de acordo com a lei portuguesa, é necessário que os danos tenham ocorrido por causa do exercício dessa função[57] [58].
Por outro lado, as operações de tratamento de dados poderão ser também levadas a cabo no contexto de uma relação obrigacional. Nestas hipóteses, se o RPT, enquanto sujeito passivo da obrigação, decidir recorrer a um subcontratante para o cumprimento da mesma, responderá perante o credor pelos danos provocados pela atuação desse terceiro. Trata-se de um princípio que, em Portugal, é acolhido pelo art. 800.º do CC[59].
Prima facie, poder-se-ia considerar que o regime estabelecido pelo ordenamento jurídico português nesta matéria seria compatível com o disposto no RGPD quanto à responsabilização do controller por facto do processor particularmente quando a operação de tratamento de dados assentasse numa base negocial[60]. No entanto, parece-nos, de novo, que se verifica uma divergência entre os modelos de responsabilidade civil do art. 800.º do CC e do art. 82.º do RGPD. 
O n.º 1 do art. 800.º estabelece que o devedor deverá responder perante o credor pelos atos das pessoas que utilize para o cumprimento da obrigação “como se tais atos fossem praticados pelo próprio devedor”. Sucede que a doutrina tem interpretado esta expressão no sentido de que o devedor só responderá pelos danos provocados pelas pessoas a que recorra para o cumprimento da obrigação quando tais danos resultem de um facto ilícito e culposo imputável a essas pessoas[61].
Significa isto que, de acordo com esta leitura da lei portuguesa — que nos parece a mais correta em face do Direito positivo — o afastamento da culpa do processor, levaria ao afastamento da responsabilidade contratual do controller pelos danos e prejuízos causados pela atuação do primeiro, o que, a nosso ver, se revela incompatível com a amplitude do alcance do modelo de responsabilidade civil que consideramos ter sido acolhido pelo RGPD para assegurar o mais elevado nível de proteção aos titulares dos dados pessoais[62].
De facto, quer ao nível da responsabilidade extracontratual, quer ao nível da responsabilidade contratual, acreditamos que, no âmbito do RGPD, o melhor entendimento é aquele que foi expresso pelo Advogado-Geral Sánchez-Borbona quando refere que os objetivos de “[…] assegurar um nível de proteção elevado das pessoas singulares […]”, garantir uma indemnização aos titulares de dados lesados e “[…] reforçar a confiança dos cidadãos no ambiente digital […]” se alcançarão mais facilmente “[…] num modelo tendente a que o dano provado: seja sempre objeto de indemnização (salvo causa de exoneração, que será excecional) e dê origem a uma indemnização cuja obtenção é (comparativamente) simples, não apenas porque não é necessário provar a culpa do responsável pelo tratamento, mas porque, perante uma violação e um dano a ela associado, a imputação não depende de nenhum grau de culpa”[63].
 
 
4. Conclusão
No presente estudo procedemos à análise dos fundamentos e do alcance da responsabilidade civil do data controller por facto imputável ao data processor no âmbito do Direito da Proteção de Dados. Concluído este percurso, podemos afirmar sinteticamente, que apesar da decisão do TJ no acórdão de 21/12/2023, processo C-667/21 “Krankenversicherung Nordrhein, continuamos a entender que a interpretação do art. 82.º que melhor se adequa à letra, às finalidades e objetivos e à própria sistemática do RGPD é aquela que defende que o regulamento prevê um modelo de responsabilidade civil independente de culpa.
O enquadramento da responsabilidade civil do RPT por facto do subcontratante nestes termos corresponde, em nosso entender, à leitura que melhor se adequa ao regime do regulamento que tem, precisamente, como um dos seus principais objetivos assegurar um grau de proteção mais elevado dos titulares dos dados e de reforçar os seus direitos[64].
Aliás, no que respeita especificamente à responsabilidade civil, é elucidativa quanto à maior exigência do novo diploma, a comparação entre o art. 82.º, n.º 3 do RGPD e o art. 23.º, n.º 2 da Diretiva 95/46 – com a introdução da expressão “de modo algum” no texto do art. 82.º, n.º 3, o legislador europeu evidencia uma necessidade de afastamento de qualquer relação entre a conduta do agente e os danos causados para que se possa excluir a responsabilidade do mesmo e, por isso, uma maior exigência[65].
Para além disso, acreditamos que esta é também a leitura que apresenta maior compatibilidade com a conceção ampla do conceito de dano acolhida ao nível do regulamento[66].
Assim, tal como referimos supra, interpretado nestes termos, o regime de responsabilidade por facto de terceiro no âmbito do RGPD não é compatível com a aplicação do regime previsto nos arts. 500.º e 800.º do CC, uma vez que — segundo o entendimento que consideramos ter sido acolhido, nesta matéria, pelo Direito português — a responsabilidade por facto de terceiro dependerá sempre da verificação de pressupostos mais exigentes quanto à atuação desse mesmo terceiro que aqueles que parecem resultar do regulamento[67].
 
 
Bibliografia         
Agência dos Direitos Fundamentais da União Europeia [et. al.], Handbook on European Data Protection Law [em linha], Luxemburgo, Serviços de Publicações da União Europeia, 2018, disponível in https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law-2018-edition (12.10.2024)
Alsenoy, Brendan Van, “Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation” [em linha], Journal of Intellectual Property, Information Technology and E-Commerce Law, Ano 7, Vol. 3 (2016), disponível in https://www.jipitec.eu/issues/jipitec-7-3-2016/4506 , pp. 271-288 (12.10.2024)
Antunes, Henrique Sousa, “A Responsabilidade Civil Extracontratual do Data Controller por facto do Data Processor” [em linha], Revista de Direito da Responsabilidade, Ano 3 (2021), disponível in https://revistadireitoresponsabilidade.pt/2021/a-responsabilidade-civil-extracontratual-do-data-controller-por-facto-do-data-processor-henrique-sousa-antunes/, pp. 124-156 (12.10.2024)
Barbosa, Mafalda Miranda, Lições de Responsabilidade Civil, 1.ª Edição, Cascais, Principia, 2017
Barbosa, Mafalda Miranda, “Proteção de Dados e Direitos de Personalidade: Uma Relação de Interioridade Constitutiva. Os Beneficiários da Proteção e a Responsabilidade Civil”, in Ab Instantia – Revista do Instituto de Conhecimento Abreu Advogados, Ano V, N.º 7 (2017), pp. 13-47
Barbosa, Mafalda Miranda, “Data controllers e data processors: da responsabilidade pelo tratamento de dados à responsabilidade civil” [em linha], in Revista de Direito Comercial (2018), disponível in https://www.revistadedireitocomercial.com/data-controllers-e-data-processors , pp. 423-493 (12.10.2024)
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 7 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher(edição), The EU General Data Protection Regulation (GDPR)-A Commentary, Oxford, Oxford University Press, 2020, pp. 145-156
Bygrave, Lee A. / Tosoni, Luca, “Comentário ao art. 4.º, n.º 8 do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 157-162
Carvalho, Pedro Nunes de, “A responsabilidade do comitente”, in Revista da Ordem dos Advogados, Ano 48, Vol. I (Abril de 1988), pp. 85-120
Coelho, Cristina Pimenta, “Comentário ao art. 82.º”, in Sousa Pinheiro, Alexandre de (Coord.), Comentário ao Regulamento Geral de Proteção de Dados, Coimbra, Almedina, 2018, pp. 633-637
Comité Europeu Para a Proteção de Dados, Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD [em linha], versão 2.0., 2021, disponível in https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pt (12.10.2024)
Cordeiro, António Menezes, Tratado de Direito Civil Português, vol. II, tomo III, Coimbra, Almedina, 2010
Cordeiro, A. Barreto Menezes, “A Responsabilidade Civil dos intermediários financeiros. O artigo 304.º-A do Código dos Valores Mobiliários”, in Barbosa, Mafalda Miranda / Muniz, Francisco, Responsabilidade Civil. Cinquenta Anos em Portugal, Quinze Anos no Brasil, vol. II, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2018, pp. 83-104
Cordeiro, A. Barreto Menezes, “Da Responsabilidade Civil pelo Tratamento de Dados Pessoais”, in Barbosa, Mafalda Miranda / Rosenvald, Nelson / Muniz, Francisco, Novos Desafios da Responsabilidade Civil: Atas das II Jornadas Luso-Brasileiras de Responsabilidade Civil, Coimbra, Instituto Jurídico da Faculdade de Direito da Universidade de Coimbra, 2019, pp. 39-54
Cordeiro, A. Barreto Menezes, Direito da Proteção de Dados, Coimbra, Almedina, 2020
Costa, Mário Júlio Almeida, Direito das Obrigações, 12.ª edição, Coimbra, Almedina, 2009
Frada, Manuel Carneiro da, Contrato e deveres de proteção, Separata do vol. XXXVIII do Suplemento ao Boletim da Faculdade de Direito da Universidade de Coimbra, Coimbra, 1994
Kelleher, Denis / Murray, Karen, EU Data Protection Law, Londres, Bloomsbury, 2018
Knetsch, Jonas, “The compensation of non-pecuniary loss in GDPR infringement cases” [em linha], in European Journal of Privacy Law & Technologies (2020), disponível in https://universitypress.unisob.na.it/ojs/index.php/ejplt/article/view/1128/368 (13.10.2024) pp. 63-70
Leitão, Adelaide Menezes, Normas de Proteção e Danos Puramente Patrimoniais, Dissertação de Doutoramento em Ciências Jurídicas na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2007, disponível in https://repositorio.ul.pt/handle/10451/166 (12.10.2024)
Leitão, Luís Menezes, Direito das Obrigações, vol. I, 15.ª Edição, Coimbra, Almedina, 2018
Martínez, Pedro Romano, O Subcontrato, Coimbra, Almedina, 1989
Melo, Daniel Bessa de, “Da responsabilidade civil pelo tratamento desconforme de dados pessoais” [em linha], in Coutinho, Francisco Pereira / Moniz, Graça Canto, Anuário da Proteção de Dados 2023, Lisboa, Universidade Nova de Lisboa. Faculdade de Direito e CEDIS, Centro de I & D sobre Direito e Sociedade, 2023, disponível in https://protecaodedadosue.cedis.fd.unl.pt/edicao-edition-2023/ (12.10.2024), pp. 83-108
Millard, Christopher / Kamarinou, Dimitra, “Comentário ao art. 28.º do RGPD”, in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 599-611
Madaleno, Cláudia, A Responsabilidade Obrigacional Objetiva por Facto de Outrem [em linha], tese de Doutoramento apresentada na Faculdade de Direito da Universidade de Lisboa, 2014, disponível in https://repositorio.ul.pt/handle/10451/22242(12.10.2024)
Morais, Nuno, “A responsabilidade objectiva do comitente por facto do comissário” (A análise do art. 500.º do Código Civil – seus pressupostos e regime), in Julgar, n.º 6 (2008), pp. 41-65
Proença, José Brandão, Lições de cumprimento e não cumprimento das obrigações, 3.ª Edição, Porto, Universidade Católica Editora, 2019
Rocha, Francisco Rodrigues, “Comentário ao art. 28.º do RGPD”, in Cordeiro, A. Barreto Menezes (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2021, pp. 251-257
Rocha, Maria Victória, A imputação objetiva na Responsabilidade Contratual, Revista de Direito e Economia, ano XV, 1989, pp. 31-103
Silva, David, Responsabilidade Civil pelo Tratamento Indevido de Dados Pessoais [em linha], Dissertação de Mestrado em Direito e Prática Jurídica — Especialidade Direito da Empresa na Faculdade de Direito da Universidade de Lisboa, Lisboa, 2020, disponível in https://repositorio.ul.pt/bitstream/10451/55030/1/ulfd0150846_tese.pdf (13.10.2024)
Trigo, Maria Da Graça, Responsabilidade Civil Delitual por Facto de Terceiro, Coimbra, Coimbra Editora, 2009
Valente, Catarina, O dano na responsabilidade civil por violação do Regulamento Geral de Proteção de Dados [em linha], Dissertação de Mestrado em Direito na Escola do Porto Faculdade de Direito da Universidade Católica Portuguesa, Porto, 2023, disponível in https://repositorio.ucp.pt/bitstream/10400.14/41881/1/203332270.pdf (13.10.2024)
Varela, João Antunes, Das obrigações em geral, vol. I, 10.ª Edição, Coimbra, Almedina, 2000
Varela, João Antunes, Das obrigações em geral, vol. II, 7.ª Edição, Coimbra, Almedina, 1997
Vasconcelos, Pedro Pais de, Contratos Atípicos, Coimbra, Almedina, 1995
Zanfir-Fortuna, Gabriela, “Comentário ao art. 82.º do RGPD” in Kuner, Christopher / Bygrave, Lee A. / Docksey, Christopher (edição), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, pp. 1160-1179
 
 
Jurisprudência
Acórdão do STJ de 2/03/2006, processo n.º 05B4091, in http://www.dgsi.pt/
Acórdão do STJ de 26/03/2014, processo n.º 897/06.0TAOVR.P1.S1, in http://www.dgsi.pt/
Acórdão do TJ de 10/07/2018, processo n.º C-25/17, in https://curia.europa.eu/
Acórdão do TJ de 4/05/2023, processo n.º C-300/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-340/21, in https://curia.europa.eu/
Acórdão do TJ de 14/12/2023, processo n.º C-456/22, in https://curia.europa.eu/
Acórdão do TJ de 21/12/2023, processo n.º C-667/21, in https://curia.europa.eu/
Acórdão do TJ de 25/01/2024, processo n.º C-687/21, in https://curia.europa.eu/
Acórdão do TRC de 6/10/2009, processo n.º 642/04.5TBSEI.C2, in http://www.dgsi.pt/
Acórdão do TRL de 12/03/2015, processo n.º 9119/08.9TMSNT.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 8/7/2021, processo n.º 174/20.4T8PDL.L1-6, in http://www.dgsi.pt/
Acórdão do TRL de 2/05/2023, processo n.º 12234/21.0T8LSB.L1-7, in http://www.dgsi.pt/