TJUE – C‑319/20 – Meta Platforms Ireland Limited

TJUE - C‑319/20 - Meta Platforms Ireland Limited

O TJUE declarou que, nos termos do artigo 80.º, n.º 2, do RGPD, a legislação nacional pode permitir que as associações de defesa do consumidor atuem judicialmente, sem que para tal lhes tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais.

SUMÁRIO DO ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção), 28 de abril de 2022

Processo C‑319/20.

A Meta Platforms Ireland (Meta) administra a rede social Facebook na União Europeia. A Facebook Germany GmbH é uma entidade separada e “promove a venda de espaço publicitário no endereço de internet www.facebook.de”. O Facebook contém uma secção chamada “App Center” que permite aos utilizadores aceder a jogos gratuitos fornecidos por terceiros. Ao aceder a esses jogos, é indicado que alguns dados pessoais são compartilhados com a empresa de jogos, sendo também informada a eventualidade da empresa publicar informações em nome do utilizador.

A Federação das Associações de Consumidores dos Estados Federados, Alemanha, intentou uma ação junto do Tribunal Regional de Berlim (Landgericht (LG) Berlim) na Alemanha, alegando que as informações fornecidas pelos jogos no “App Center” resultam numa prática comercial desleal, e que a capacidade de publicar informações em nome do utilizador é uma condição geral que prejudica o utilizador. A LG Berlin decidiu contra a Meta, e esta decisão foi sujeita a recurso perante o Tribunal Regional Superior de Berlim (Kammergericht (KG) Berlin), que também decidiu contra a Meta. Posteriormente, a Meta interpôs um recurso no Tribunal Federal de Justiça (Bundesgerichtshof (BGH), e o Tribunal submeteu a seguinte questão prejudicial ao TJUE:

«As disposições do capítulo VIII, em particular o artigo 80.o, n.os 1 e 2, e o artigo 84.o, n.o 1, do [RGPD], opõem‑se a normas nacionais que, além dos poderes de intervenção das autoridades de controlo responsáveis pela supervisão e aplicação [deste] regulamento e da tutela jurisdicional à disposição dos titulares dos dados, conferem aos concorrentes, por um lado, e às associações, [organismos] e [entidades] autorizadas pela legislação nacional, por outro, a faculdade de intentar ações perante os tribunais cíveis por infrações ao [RGPD], independentemente da violação de direitos concretos de determinados titulares dos dados e sem mandato destes, invocando contra os infratores a inobservância da proibição de práticas comerciais desleais, infrações à legislação relativa à proteção do consumidor ou a inobservância da proibição de utilizar cláusulas contratuais gerais inválidas?»

A decisão

O TJUE considerou que “a resposta à questão prejudicial depende apenas da interpretação do artigo 80.°, n.° 2, do RGPD, uma vez que as disposições do artigo 80.°, n.° 1, do RGPD e do artigo 84.° do RGPD não são pertinentes para o caso em apreço. Com efeito, por um lado, a aplicação do artigo 80.°, n.° 1, do RGPD pressupõe que o titular dos dados tenha mandatado o organismo, a organização ou a associação sem fins lucrativos, referidos nessa disposição, para que tome em seu nome as medidas jurídicas previstas nos artigos 77.° a 79.° do RGPD. Ora, é ponto assente que não é esse o caso no processo principal, na medida em que a Federação atua independentemente de qualquer mandato do titular dos dados. Por outro lado, é pacífico que o artigo 84.° do RGPD visa as sanções administrativas e penais aplicáveis por violações deste regulamento, o que também não está em causa no processo principal.”; “ Além disso, importa destacar que o litígio no processo principal não suscita a questão da legitimidade ativa de um concorrente. Por conseguinte, há que responder apenas à parte da questão que tem por objeto a legitimidade ativa das associações, dos organismos e das entidades autorizadas nos termos do direito nacional, referidos no artigo 80.°, n.° 2, do RGPD.”

O TJUE observou ainda que “o titular dos dados tem o direito de apresentar ele próprio uma reclamação a uma autoridade de controlo de um Estado‑Membro ou de intentar uma ação nos tribunais cíveis nacionais. Mais precisamente, o titular dos dados dispõe, respetivamente, do direito de apresentar reclamação a uma autoridade de controlo, em conformidade com o artigo 77.° do RGPD, do direito à ação judicial contra uma autoridade de controlo, ao abrigo do artigo 78.° do RGPD, do direito à ação judicial contra um responsável pelo tratamento ou um subcontratante, previsto no artigo 79.° do RGPD, e do direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos, nos termos do artigo 82.° do RGPD.”; “Em seguida, em conformidade com o artigo 80.°, n.° 1, do RGPD, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos, sob determinadas condições, para que estes apresentem uma reclamação ou exerçam, em seu nome, os direitos referidos nos artigos acima referidos.”

O TJUE observou que a violação das regras relativas à defesa do consumidor pode também estar relacionada com a violação das regras que protegem os dados pessoais. “(…) uma associação de defesa dos interesses dos consumidores, como a Federação, é suscetível de ser abrangida por este conceito na medida em que prossegue um objetivo de interesse público que consiste em assegurar os direitos e as liberdades dos titulares dos dados na sua qualidade de consumidores, uma vez que a realização desse objetivo é suscetível de estar relacionado com a proteção dos dados pessoais desses titulares.”

Além disso, uma ação representativa pode ser iniciada quando a organização representativa “considera” que uma infração ocorreu, e não apenas quando pode provar um dano real sofrido pelo titular dos dados. O TJUE considerou que tal interpretação e presença de associações de defesa do consumidor fortalecem os direitos dos titulares dos dados, e uma ação representativa pode ser melhor que várias pessoas exercendo individualmente os seus direitos.

O Tribunal de Justiça (Terceira Secção) declarou:

O artigo 80.o, n.o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não se opõe a uma legislação nacional que permite a uma associação de defesa dos interesses dos consumidores agir judicialmente, sem que lhe tenha sido conferido um mandato para o efeito e independentemente da violação de direitos concretos dos titulares dos dados, contra o presumível autor de uma violação da proteção dos dados pessoais, invocando a violação da proibição de práticas comerciais desleais, de uma lei em matéria de proteção dos consumidores ou da proibição da utilização de cláusulas contratuais gerais inválidas, desde que o tratamento dos dados em causa seja suscetível de afetar os direitos conferidos por esse regulamento às pessoas singulares identificadas ou identificáveis.

Ligação para o Acórdão: https://curia.europa.eu/juris/document/document.jsf?text=&docid=258485&pageIndex=0&doclang=PT&mode=req&dir=&occ=first&part=1&cid=175059