Facilidade de recursos e severidade das sanções

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Apesar da sua inteligência e coerência, apesar da unidade de todos os países da União Europeia em fazer conhecer e aplicar as suas disposições, o RGPD, como qualquer regulamento, careceria de credibilidade e, portanto, de eficácia, se não fosse acompanhado da possibilidade de sanções significativas em caso de incumprimento por parte de quem deveria aplicá-lo.

Fiéis à preeminência que conferem aos indivíduos sobre as organizações, os redatores previram soluções simples de implementar e suscetíveis de desencadear condenações e sanções em caso de má conduta comprovada. O Artigo 77 é claro a esse respeito: "... qualquer titular de dados tem o direito de apresentar reclamação a uma autoridade de controlo... se considerar que o tratamento de dados pessoais que lhe digam respeito viola o presente Regulamento." E se a decisão da autoridade de controlo, que tem três meses para processar o pedido, não for satisfatória para o titular dos dados, este pode interpor recurso judicial (Artigo 78).

Mas a ação também pode ser movida diretamente contra o responsável pelo tratamento. O título do Artigo 79 não deixa margem para ambiguidade a esse respeito: "Direito a um recurso judicial efetivo contra um responsável pelo tratamento ou um subcontratante". O parágrafo 1 especifica: "...todo titular de dados tem direito a um recurso judicial efetivo se considerar que os seus direitos ao abrigo do presente Regulamento foram violados...".

Podemos, portanto, constatar que é muito fácil intentar uma ação, primeiro administrativa, depois possivelmente judicial, contra uma entidade e/ou pessoa que trata dados. Basta que o titular dos dados "considere" que o tratamento não foi conforme para agir. Ele ou ela pode agir sozinho ou ser representado por "um organismo, organização ou associação sem fins lucrativos... cujos objetivos estatutários sejam de interesse público e que atue no domínio da proteção dos direitos e liberdades dos titulares dos dados..." (art. 80-1). Melhor ainda, "os Estados-Membros podem prever que qualquer organismo, organização ou associação, independentemente de qualquer mandato conferido pelo titular dos dados, tenha, no Estado-Membro em causa, o direito de apresentar queixa à autoridade de controlo..." (art. 80-2). Por outras palavras, o RGPD deixa aos Estados-Membros a responsabilidade de conferir a uma estrutura especializada o direito de intentar ela própria um processo, mesmo que este não tenha sido interposto por um indivíduo.

Essas disposições também deixam a porta aberta para ações coletivas, já introduzidas na França pela lei Hamon de 2014 e depois pela lei de 18 de novembro de 2016, conhecida como "modernização da justiça no século XXI".^e século". Esta última lei apenas permite a cessação da infração. O RGPD abre a possibilidade de indenização, mesmo que esta pareça mais individual do que coletiva.

De fato, após o direito de apelação, o direito à indenização é por sua vez estabelecido: "Qualquer pessoa que tenha sofrido dano material ou moral em decorrência de uma violação deste regulamento tem o direito de obter indenização pelos danos sofridos do controlador ou do processador" (art. 82-1).

Quem pagará por essa indenização? As coisas são claras: "Qualquer responsável pelo tratamento envolvido no tratamento será responsável pelos danos causados pelo tratamento que constitua uma violação do presente Regulamento. Um subcontratante só será responsabilizado pelos danos causados pelo tratamento se não tiver cumprido as obrigações estabelecidas no presente Regulamento" (Art. 82-2). Qualquer uma das partes ainda pode demonstrar a ausência de culpa: "Um responsável pelo tratamento ou um subcontratante ficará isento de responsabilidade nos termos do parágrafo 2 se provar que o evento que causou o dano não lhe é de forma alguma imputável" (Art. 82-3).

Quando vários intervenientes estiverem envolvidos, "cada um dos responsáveis pelo tratamento ou subcontratantes será responsabilizado pelos danos na sua totalidade, a fim de garantir ao titular dos dados uma indemnização efetiva" (art. 82-4). Isto não impede, portanto, a indemnização: "Quando um responsável pelo tratamento ou subcontratante tiver, nos termos do n.º 4, indemnizado integralmente os danos sofridos, tem o direito de exigir aos outros responsáveis pelo tratamento ou subcontratantes que tenham participado no mesmo tratamento a quota de indemnização correspondente à sua quota-parte de responsabilidade pelos danos" (art. 82-5).

Agora que as responsabilidades foram estabelecidas, como as sanções podem ser impostas? A autoridade supervisora tem todos os poderes necessários para chamar um controlador ou processador de dados à ordem, incluindo impor uma limitação ou proibição de processamento, ordenar a retificação ou apagamento de dados pessoais, suspender transferências, revogar a certificação e impor uma multa administrativa (Artigo 58-2).

O Artigo 83 estabelece as condições para a aplicação de multas administrativas, que devem ser "proporcionais e dissuasivas" (art. 83-1). Os 11 critérios listados no parágrafo 2 do artigo para "decidir se uma multa administrativa deve ser aplicada" demonstram que cada penalidade será determinada caso a caso, levando em consideração, é claro, "se a violação foi cometida deliberadamente ou por negligência". Os parágrafos 4 e 5 listam as várias violações possíveis e determinam o valor máximo das multas; até € 20.000.000 ou, para uma empresa, até € 4,% do seu faturamento anual mundial, o que for maior. Basta dizer que multas desse valor podem comprometer seriamente a estabilidade de uma empresa (a título de registro, as penalidades máximas aplicadas pela CNIL nos últimos anos foram de € 150.000).

Quanto aos recursos que poderiam ser solicitados e obtidos em caso de ação judicial, seja contra a decisão da autoridade supervisora ou contra o controlador ou o processador de dados, podemos presumir que eles também serão "proporcionais e dissuasivos" (essas duas palavras juntas soam como um oxímoro, mas claramente não estão no espírito do GDPR).

A autoridade de supervisão é, portanto, todo-poderosa, o que, aliás, torna esse tipo de órgão uma instituição que combina três poderes – legislativo (mesmo que apenas proponha a lei), executivo e judiciário – geralmente separados em grandes democracias. O simples descumprimento de uma liminar emitida pela autoridade de supervisão nos termos do Artigo 58-2 pode resultar na multa máxima (Art. 83-5). No caso de tratamento transnacional, a sanção será adotada conjuntamente pelas autoridades de supervisão envolvidas.

Outras sanções, “em especial por violações que não estejam sujeitas às multas administrativas previstas no artigo 83”, podem ser decididas pelos Estados-Membros (art. 84-1).

Recordemos mais uma vez o princípio básico: todos devem manter a propriedade e o controle de seus dados pessoais. Qualquer organização que viole esse princípio poderá ser sancionada.