Alerta Jurídico nº 93 – Março de 2026. 

 

Acesso a dados pessoais: reconhecimento de abuso de direitos?

Uma decisão recente do Tribunal de Justiça da União Europeia (TJUE) esclarece as condições do direito de acesso dos indivíduos aos seus dados pessoais e, em particular, as circunstâncias em que um pedido de acesso pode ser considerado abusivo por parte do responsável pelo tratamento dos dados.

Embora o Artigo 12 do RGPD associe o caráter abusivo dos pedidos ao seu caráter repetitivo, o Tribunal de Justiça da União Europeia (TJUE) esclareceu, em 19 de março, no Processo C-526/24 – Brillen Rottler, que esse critério de repetição é meramente ilustrativo: o número de pedidos não é determinante, e um pedido inicial de acesso pode ser considerado abusivo se o titular dos dados utilizar esse direito para obter vantagem, por exemplo, se tentar criar artificialmente um direito a indemnização contra o responsável pelo tratamento. Nesse caso, configura-se um abuso de direito.

A recusa em responder a um pedido de acesso deve, contudo, permanecer uma exceção ao abrigo do RGPD, e o responsável pelo tratamento dos dados deve ser capaz de comprovar a intenção abusiva do requerente.

Neste caso específico, o responsável teve de demonstrar, com base em provas concretas, que o pedido não visava verificar o tratamento de dados, mas sim criar artificialmente as condições para uma reclamação de indemnização.

De fato, era sabido que o requerente havia feito vários pedidos a diversos controladores de dados, após fornecer-lhes seus dados, a fim de obter reparação.

O Tribunal reitera que três condições devem ser cumpridas para que a indemnização seja concedida:

• Uma violação do RGPD (Regulamento Geral sobre a Proteção de Dados),
• Dano
• E existe uma relação causal entre os dois.

Danos intangíveis podem resultar da perda de controle ou da incerteza em relação ao processamento de dados, mas o dano deve ser comprovado pelo reclamante e não pode ter sido causado por sua conduta.

Neste caso específico, o nexo causal foi rompido devido ao comportamento da pessoa em questão, que agiu com o objetivo de criar artificialmente as condições para o dano.

Quando as três condições acima forem atendidas, uma violação do direito de acesso poderá, portanto, dar origem ao direito de reparação, mesmo que essa violação não resulte diretamente do processamento de dados em sentido estrito.

A recusa em responder a um pedido de acesso pode expor a parte responsável a uma ação judicial por parte de um solicitante de boa-fé.

O responsável pelo tratamento de dados que suspeitar de um pedido abusivo deve, portanto, ter maior cautela e conservar provas dessa natureza abusiva antes de recusar o acesso. 

Os esclarecimentos fornecidos pelo Tribunal de Justiça da União Europeia (TJUE) são consistentes com as diretrizes publicadas pelo Conselho Europeu de Proteção de Dados (CEPD) em 2022 sobre o assunto, que oferecem orientações adicionais.

Assim, o caráter excessivo das solicitações pode depender das características específicas do setor em que o controlador de dados atua.

"Quanto mais frequentes forem as alterações feitas no banco de dados do controlador de dados, maior a probabilidade de o titular dos dados ter permissão para solicitar acesso aos seus dados sem que isso seja considerado excessivo."

Em caso de pedidos repetidos, o responsável pelo tratamento dos dados poderá, em vez de recusar o acesso, decidir cobrar à pessoa em causa uma taxa correspondente ao custo dos procedimentos administrativos decorrentes dos pedidos.

Por fim, cabe destacar que a Comissão Europeia também pretende, em sua proposta de um Regulamento Omnibus Digital, proporcionar maior segurança jurídica aos controladores de dados quando confrontados com abusos de direitos por parte dos titulares dos dados.

Embora o CEPD (Comitê Europeu para a Proteção de Dados) e o CEPD (Supervisor Europeu da Proteção de Dados) apoiem esse desejo de esclarecimento em seu parecer de 10 de fevereiro, eles acreditam que o exercício do direito de acesso para fins que não sejam a proteção de dados pessoais não deve ser um elemento determinante do que constitui um abuso… desde que a boa-fé do requerente não esteja em questão.

 

Um decreto de implementação da lei SREN, publicado em 24 de março, introduz requisitos adicionais. para hospedagem de dados de saúde (HDS) exclusivamente no território da UE ou do EEEOs requisitos foram bem recebidos pela CNIL, pois visam aumentar a transparência para com as pessoas envolvidas, bem como reforçar o controle dos dados de saúde pelas partes no contrato de hospedagem, no que diz respeito ao risco de acesso extraeuropeu.

De forma mais geral, todo o sistema de TI do Estado pretende migrar para soluções soberanas.

Assim, uma semana após o anúncio da implementação da plataforma colaborativa LaSuite para os 80.000 agentes do Seguro de Saúde, a Direção Interministerial de Assuntos Digitais (DINUM) anunciou oficialmente, em 9 de abril, sua intenção de abandonar o Windows em favor do Linux e adotar uma solução soberana antes do final do ano.

Esses objetivos tornaram-se mais concretos desde o seminário de 8 de abril, que reuniu pela primeira vez ministérios, operadores públicos e atores privados com o objetivo de identificar quais softwares e serviços estrangeiros o Estado utiliza hoje para poder dispensá-los amanhã.

"A partir deste outono, cada ministério (e os órgãos públicos que dependem dele) terá de apresentar o seu próprio plano para reduzir a sua dependência digital estrangeira."

O roteiro de segurança digital do estado para 2026-2027 foi publicado no início de abril.

Faz parte do esforço para fazer com que as administrações estaduais cumpram a diretiva NIS2 e as envolve em sua transição para a criptografia pós-quântica. 

"Em um contexto de alta ameaça e deterioração da situação geopolítica, o documento define os esforços prioritários que os ministérios devem empreender na área de segurança digital: consolidar a governança, fortalecer a gestão de acessos, controlar o ambiente dos sistemas de informação, etc."

A CNIL publicou seus temas prioritários de controle para 2026 em 3 de abril.  Ela se concentrará em

• Recrutamento,
• O cadastro eleitoral único
• Federações esportivas.

Outros anúncios relacionados à segurança cibernética serão feitos quando o relatório anual for publicado em maio.

Ela também publicou seu programa de trabalho para apoiar profissionais.que dará ênfase

• O uso da IA,
• Dados de saúde,
• Condições do direito de acesso
• Cibersegurança.

O site da CNIL também apresenta um novo guia sobre os períodos de retenção de dados de RH. Por fim, em uma publicação de 20 de março, a CNIL reitera as condições bastante restritivas para a gravação de áudio por câmeras de vigilância.

Embora a invasão dos sistemas das Agências Regionais de Saúde (ARS) tenha sido oficialmente confirmada em setembro de 2025, a situação está tomando um rumo mais alarmante atualmente. Enquanto isso, o grupo de hackers DumpSec reivindica a responsabilidade pelo ataque e agora está vendendo um enorme banco de dados do sistema de saúde francês.

Mais de 35 milhões de pacientes seriam afetados, e os dados incluiriam informações sensíveis relacionadas aos percursos de atendimento.

A violação de dados resulta do roubo de credenciais de profissionais de saúde nos servidores do GRADeS (grupo regional de apoio à saúde eletrônica).

O Tribunal de Justiça da União Europeia (TJUE) emitiu uma decisão em 19 de março que afeta as condições de coleta de dados biométricos pela polícia francesa.

No caso C 371/24 – Comdribus, o tribunal considerou que a legislação nacional é incompatível com a diretiva europeia “Justiça policial” quando autoriza um serviço policial a tratar sistematicamente os dados biométricos de suspeitos sem exigir que a autoridade competente justifique a absoluta necessidade e proporcionalidade desse tratamento.

Uma pessoa que se recuse a ter seus dados biométricos coletados só poderá ser sancionada se a coleta planejada atender a estas condições, avaliadas à luz das circunstâncias no momento em que essa coleta for decidida pelas autoridades competentes.

A justificativa para a cobrança é necessária para permitir que a pessoa em questão exerça seu direito a uma via de recurso efetiva.

Neste caso específico, durante uma ação realizada em Paris em maio de 2020 por ativistas climáticos, vários participantes, incluindo o denunciante, foram presos pelas autoridades policiais por organizarem uma manifestação não declarada.

Ao ser detida pela polícia, a queixosa recusou-se a submeter-se à coleta de impressões digitais e à fotografia.

O Ministro do Interior declarou em 3 de abril no Senado, durante uma sessão de perguntas ao governo, que o uso de software de reconhecimento facial pelas forças de segurança em seus dispositivos de controle de identidade Neo não era legal, exceto no âmbito de uma investigação sob a direção de um juiz.

O ministro indicou que a CNIL está atualmente analisando essa questão.

O diretor de uma empresa de cibersegurança vencedora do programa francês Tech 2030 foi preso no final de março como parte de uma ampla operação europeia contra uma plataforma de pornografia infantil.

O engenheiro, que dirige uma startup especializada em antecipar ameaças cibernéticas – cujos clientes incluem o FBI e a Comissão Europeia – é suspeito de ter comprado imagens e vídeos de pornografia infantil através de uma plataforma de pornografia infantil na Darknet.

Mais de 200 pessoas foram presas em toda a Europa no contexto de uma operação coordenada, graças a pagamentos em criptomoedas rastreados e desanonimizados por investigadores.

 

Instituições e órgãos europeus

Em 11 de março, o Parlamento Europeu concordou em estender as regras (excepcionais) que permitem o controle das comunicações eletrônicas ("Controle de bate-papo"). ao mesmo tempo que limitam seu escopo..

Em vez de conceder autorização irrestrita para tecnologias de escaneamento, o Parlamento solicitou que essas ferramentas fossem usadas apenas contra suspeitos conhecidos e exclusivamente para detectar pornografia infantil comprovada.

Entretanto, Google, Meta, Microsoft e Snap (Chat) reafirmaram em um comunicado conjunto à imprensa "que continuarão a tomar medidas voluntárias em relação aos seus serviços de comunicação interpessoal afetados".

As negociações interinstitucionais ainda estão em andamento: a Presidência cipriota do Conselho pretende finalizar o projeto até julho de 2026, e a questão está sendo negociada no âmbito do trílogo entre o Parlamento, o Conselho e a Comissão.

Em 26 de março, os membros do Parlamento Europeu tomaram uma posição em sessão plenária sobre o componente de IA do pacote Digital Omnibus.

Eles votaram pelo adiamento da entrada em vigor de diversas disposições do regulamento de IA.

Os sistemas de IA que envolvem biometria e aqueles utilizados em infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, justiça e gestão de fronteiras seriam, portanto, adiados de agosto de 2026 para 2 de dezembro de 2027.

Parlamentares propõem adiar a entrada em vigor de outros sistemas sujeitos à regulamentação setorial (segurança e fiscalização de mercado) até 2 de agosto de 2028.

Os trílogos entre a Comissão Europeia, o Parlamento e o Conselho visam um acordo provisório sobre o texto até 28 de abril.

Vale lembrar que os princípios essenciais do regulamento já entraram em vigor e estão sujeitos ao controle da CNIL (Comissão Nacional de Informática e Liberdades da França).

Em 24 de março, a Comissão Europeia detectou um ciberataque que afetou a infraestrutura em nuvem que hospeda seu site na plataforma Europa.eu, e que se revelou mais grave do que o inicialmente indicado em seu comunicado à imprensa.

Os dados afetam 71 clientes do serviço de hospedagem Europa. O CERT-EU, serviço de segurança de dados da UE, confirma a presença de nomes, nomes de usuário, endereços de e-mail e conteúdo de e-mails no vazamento.

340 GB de dados e quase 52.000 arquivos de e-mail foram publicados na dark web.

Duas importantes decisões do Tribunal de Justiça da União Europeia (TJUE) de 19 de março, Brillen Rottler e Comdribus, foram discutidas acima no editorial e nas notícias da França.

O Consórcio Europeu de Infraestrutura Digital “Bens Comuns Digitais” (EDIC) Ganha forma com a adesão de novos países e o lançamento dos seus primeiros projetos, incluindo um projeto piloto para um fundo soberano europeu de tecnologia.

O objetivo do consórcio é ajudar os Estados-Membros da União Europeia a desenvolver infraestruturas digitais abertas e fortalecer a soberania digital da Europa.

 

Notícias dos países membros da União Europeia.

Um tribunal alemão decidiu que a Meta processou ilegalmente os dados pessoais de indivíduos não registrados por meio de seu recurso "Encontrar amigos" no Facebook.

Além disso, a empresa não teria base legal para processar os dados pessoais dos usuários de sua própria plataforma para fins publicitários.

Num caso recente, um tribunal austríaco decidiu que a autoridade de proteção de dados estava correta ao recusar processar uma reclamação ao abrigo do artigo 57.º, n.º 4, do RGPD, depois de um indivíduo ter tentado abusar do mecanismo de reclamações para atrasar a cobrança de uma dívida.

A Autoridade Belga de Proteção de Dados (APD) considerou que um empregador satisfez suficientemente o pedido de acesso de um funcionário ao fornecer-lhe os seus dados através de uma reprodução, em vez de extrair na íntegra os emails em questão.

Na Finlândia, a Autoridade de Proteção de Dados emitiu um alerta a uma agência de classificação de crédito por lidar de forma inadequada com pedidos de acesso a dados.

O responsável pelo tratamento de dados encaminhou os titulares dos dados ao seu portal de acesso a dados sem dar seguimento ao assunto e indicou que seria cobrada uma taxa por qualquer solicitação feita mais de uma vez durante um período de doze meses.

A Agência Espanhola de Proteção de Dados (APD) multou um provedor de serviços de identificação digital e verificação de idade (YOTI) em € 950.000 por coletar dados biométricos sem consentimento válido (falta de granularidade e salvaguardas suficientes em relação a dados de menores) e por não limitar o período de retenção de dados.

A Autoridade Belga de Proteção de Dados (APD) também multou a Hyundai em € 2 milhões após um ataque cibernético ter exposto os dados de mais de um milhão de pessoas, incluindo seus nomes, informações de contato e números de identificação de veículos. A autoridade determinou que o controlador de dados não garantiu um nível adequado de segurança, principalmente porque os dados em questão não estavam criptografados.

Por fim, a Autoridade Belga de Proteção de Dados (APD) impôs uma multa particularmente pesada (10 milhões de euros) à operadora aeroportuária Aena pela forma como implementou seu sistema de embarque por reconhecimento facial. O sistema permite que os passageiros embarquem simplesmente olhando para uma câmera. A autoridade constatou que esse sistema biométrico foi implementado sem uma avaliação prévia de impacto sobre a proteção de dados.

A Autoridade Italiana de Proteção de Dados (APD) multou um banco em € 31.800.000 por não implementar medidas de segurança suficientes para impedir que um funcionário acessasse os dados financeiros de mais de 3.500 pessoas para fins não relacionados às suas funções.

O responsável pelo tratamento dos dados também não informou a APD e os titulares dos dados em tempo oportuno sobre essa violação de dados.

Outro banco foi multado em € 17.628.000 por transferir as contas de 275.000 clientes para sua subsidiária sem o consentimento deles. O banco havia utilizado a criação de perfis para selecionar indivíduos considerados clientes "predominantemente digitais".

No Luxemburgo, o Supremo Tribunal Administrativo anulou uma multa de 746 milhões de euros imposta à Amazon. A decisão não questiona o processamento ilegal de dados pessoais para fins de publicidade direcionada, mas exige que a Autoridade de Proteção de Dados (APD) reavalie a infração e a proporcionalidade antes de impor novas sanções.

Em um processo sumário, um tribunal na Holanda proibiu a plataforma de mídia social X de produzir e distribuir, por meio do Grok, conteúdo íntimo não consensual e pornografia infantil. O tribunal também proibiu a X de oferecer as funcionalidades do Grok enquanto essas violações persistirem.

A Autoridade Romena de Proteção de Dados (APD) multou a Renault Romania em 637.262,50 RON (125.000 euros) por não implementar medidas de segurança adequadas após uma violação de dados relacionada a um aplicativo gerenciado por um subcontratado, que resultou na publicação de dados pessoais divulgados em uma plataforma online.

 

A lei brasileira de proteção de menores na internet entrou oficialmente em vigor, e com ela, um decreto do Ministério da Justiça que visa diretamente as escolhas de design utilizadas pelas gigantes da tecnologia para capturar a atenção dos jovens.

A regulamentação altera a abordagem da segurança online infantil, passando da moderação reativa de conteúdo para a regulação prévia da arquitetura da plataforma, incluindo restrições à rolagem infinita, reprodução automática, notificações manipulativas, publicidade direcionada por meio de perfis de menores e requisitos mais rigorosos de verificação de idade.

No início de abril, o Ministério da Indústria e Tecnologia da Informação da China, juntamente com outros oito ministérios, publicou as "Medidas Experimentais Relacionadas à Avaliação Ética e ao Fornecimento de Tecnologias de Inteligência Artificial".

O documento oferece uma visão geral do que a China entende por "governança ética da IA" e dos tipos de políticas e medidas técnicas que considera necessárias para combater a banalização da ética por meio de estratégias de marketing que prometem serviços respeitosos, mas que, na realidade, não cumprem as regulamentações de IA.

Em 24 de abril, a Meta foi condenada a pagar US$ 375 milhões em multas civis por um júri no estado do Novo México, nos EUA, que considerou que a empresa não protegeu adequadamente as crianças em suas plataformas. Essa multa decorreu de violações de uma lei de práticas comerciais desleais.

Em 8 de abril, um tribunal federal de apelações em Washington, DC, recusou-se a bloquear a inclusão da empresa de IA Anthropic na lista negra de segurança nacional do Pentágono, uma vitória para o governo Trump.

No entanto, outro tribunal de apelações emitiu uma decisão contrária em um processo judicial separado movido pela Anthropic.

A empresa, desenvolvedora do assistente de IA Claude, alega que o Secretário de Defesa extrapolou sua autoridade ao designá-la como um risco para a cadeia de suprimentos de segurança nacional.

A Anthropic havia se recusado a remover certas restrições ao uso de seus produtos em virtude de sua utilização pela defesa dos EUA.