A noyb foi aprovada como uma “Entidade Qualificada” para apresentar ações de reparação coletiva em tribunais de toda a União Europeia. Estas ações, ao abrigo da Diretiva (UE) 2020/1828, podem assumir a forma de uma “injunção” ou de uma medida de “reparação”. As “injunções” proíbem geralmente uma empresa de praticar atividades ilegais, incluindo violações do RGPD. As medidas de “reparação” permitem uma versão europeia das “ações coletivas”, em que milhares ou milhões de utilizadores podem ser representados pela noyb e, por exemplo, solicitar indemnizações não materiais caso os seus dados pessoais tenham sido processados de forma ilegal. Ao contrário das ações coletivas nos EUA, a legislação da UE exige que tais ações sejam movidas com base estritamente sem fins lucrativos.

Decisão de concessão do estatuto de Entidade Qualificada (EQ) na Áustria e na UE

A decisão de conceder o estatuto de EQ na Irlanda e na UE confirma que a noyb está aprovada para ações coletivas. O sistema da UE baseia-se em organizações sem fins lucrativos aprovadas como “Entidades Qualificadas” para poderem, efetivamente, iniciar ações judiciais. Ao contrário do sistema dos EUA, onde qualquer firma de advogados pode iniciar “ações coletivas” muitas vezes em benefício próprio, o sistema da UE elimina incentivos financeiros para os queixosos e permite apenas organizações sem fins lucrativos, como a noyb, a avançarem com casos.

Embora a diretiva devesse ter sido totalmente implementada até 25 de junho de 2023, muitos Estados-Membros atrasaram-se, e os processos de aprovação para entidades qualificadas ainda não estavam disponíveis. A noyb solicitou aprovação em dois Estados-Membros: Áustria e Irlanda. A Áustria é a sede principal da noyb, e a Irlanda é de interesse específico devido ao grande número de sedes de empresas tecnológicas internacionais no país. Ambas as aprovações foram concedidas e são válidas nestes dois Estados-Membros, mas também em toda a UE. As Entidades Qualificadas num Estado-Membro podem iniciar ações em qualquer outro Estado-Membro.

Max Schrems, presidente da noyb, afirmou:

“A noyb preparou-se para este passo ao longo dos últimos anos e passou por um processo rigoroso para obter esta aprovação, onde foi revista a independência e estabilidade organizacional da entidade. Isto permitirá que apresentemos injunções contra qualquer empresa que viole o RGPD no mercado da UE. Além disso, podemos também formar ‘ações coletivas’ na UE, onde milhares ou milhões de utilizadores podem pedir indemnizações se os seus dados pessoais forem abusados. Planeamos iniciar as primeiras ações em 2025. Até agora, as reparações coletivas não estão no radar de muitos, mas têm potencial para mudar o jogo.”

As aprovações foram emitidas pelo Bundeskartellanwalt austríaco a 2 de dezembro de 2024 e pelo Ministério da Justiça irlandês a 10 de outubro de 2024.

Medidas de injunção

As medidas de injunção, ao abrigo do Artigo 8.º da Diretiva da UE, permitem que uma Entidade Qualificada solicite a uma empresa que cesse práticas ilegais específicas. Para a noyb, isto pode incluir o rastreamento de utilizadores sem consentimento válido, o uso de “dark patterns” para obter consentimento de forma ilícita, a venda de dados pessoais sem base legal, redações absurdas em políticas de privacidade ou a transferência de dados pessoais para jurisdições que não oferecem proteção adequada. Outros padrões de não conformidade, como respostas incompletas ou atrasadas a pedidos de acesso ou eliminação ao abrigo do RGPD, podem ser abordados com este novo instrumento.

Ursula Pachl, chefe de Reparação Coletiva na noyb, destacou:

“As injunções têm sido usadas com sucesso por organizações de consumidores há décadas no que diz respeito a cláusulas contratuais ou práticas comerciais desleais. A nova legislação da UE permite agora que a noyb use estas injunções para violações do RGPD ou outras infrações de proteção do consumidor – e sabemos que há milhares delas.”

Normalmente, uma organização sem fins lucrativos contacta diretamente uma empresa, exigindo que cesse a atividade ilegal e assine um “acordo de cessar e desistir”. Caso a empresa se recuse, a organização pode mover uma ação em qualquer Estado-Membro onde a empresa opere ou na sua sede na UE.

Medidas de reparação

A nova legislação também permite casos de “reparação” por violações passadas ou contínuas de processamento ilegal de dados. Tais casos incluem geralmente pedidos de indemnização por danos ou restituição de lucros ilegais. Embora os danos não materiais sejam baixos (entre 100 € e 1.000 € por utilizador), os montantes acumulam-se rapidamente em casos que envolvam milhões de utilizadores afetados. Na maioria dos Estados-Membros, cada utilizador deve solicitar que uma entidade sem fins lucrativos o represente (sistema de “opt-in”). Contudo, em algumas jurisdições, como Portugal ou os Países Baixos, uma Entidade Qualificada pode representar qualquer utilizador que não tenha expressamente recusado (“opt-out”).

Ursula Pachl reforça:

“Para um consumidor individual, é geralmente demasiado difícil e não vale a pena mover uma ação por 200 € contra uma grande empresa de tecnologia. No entanto, se milhões de utilizadores afetados se unirem, a dinâmica muda rapidamente e os custos e riscos tornam-se geríveis para cada utilizador. Este é exatamente o poder das ações de ‘reparação coletiva’.”

Próximos passos

A noyb preparou nos últimos anos os meios organizacionais e técnicos para apresentar ações de reparação coletiva e espera avançar com os primeiros casos em 2025. Enquanto as medidas de injunção podem ser implementadas rapidamente devido à experiência acumulada sob a Diretiva 93/13/EEA de Termos Injustos, as medidas de reparação exigem uma preparação mais longa e há menos experiência no campo. Até agora, ações de reparação coletiva eram limitadas a Estados-Membros específicos, como Portugal, Países Baixos, Alemanha ou Áustria, com abordagens muito diferentes da nova diretiva da UE.

Artigo original: noyb is now qualified to bring collective redress actions