Uma das questões mais discutidas atualmente na Alemanha no âmbito do direito de proteção de dados diz respeito à indenização por violações às normas do Regulamento Geral de Proteção de Dados Pessoais (Regulamento 2016/679, de 27.4.2016), no vernáculo germânico: Datenschutz-Grundverordnung (DSGVO).
Nos últimos anos, diversas empresas foram multadas administrativamente ou processadas judicialmente por titulares de dados pessoais sob acusação de alguma contrariedade ao RGPD (DSGVO). Uma delas foi a empresa de moda sueca Hennes & Mauritz Online Shop A.B. & Co. KG, mais conhecida como H&M.
O caso H&M
A empresa, cuja matriz alemã encontra-se sediada em Hamburg, operava um Servicecenter em Nurembergue, na Bavária, onde desde 2014 eram coletados minuciosos dados da esfera privada de centenas de funcionários.
Essas informações eram colhidas durante conversas informais ou em reuniões individuais com o funcionário, como acontecia quando ele voltava de férias ou de licença médica, ainda que de curto prazo.
Durante a chamada Welcome Back Talk, o superior questionava e anotava informações concretas sobre acontecimentos e vivências durante as férias ou diagnósticos e sintomas da doença. Eram registrados desde insignificantes detalhes da vida particular até informações sobre problemas familiares e crença religiosa, colhidas por vezes em inofensivas conversas no corredor.
Esse minucioso perfil dos empregados era armazenado e ficava acessível a quase cinquenta executivos da empresa, sendo utilizado para embasar a adoção de medidas e/ou tomadas de decisões internas em relação ao funcionário.
Entretanto, em outubro de 2019, um erro de configuração no sistema da H&M tornou esses dados acessíveis por algumas horas a todos os funcionários da empresa. O fato vasou rapidamente na imprensa e, tão logo tomou conhecimento do vazamento, a autoridade de proteção de dados de Hamburg ordenou o congelamento do conteúdo das informações a fim de evitar manipulações indevidas e a entrega in continenti do material para análise.
Após análise do material (60 Gigabytes de dados!) e oitiva de inúmeros funcionários, a agência de proteção de dados constatou a gravíssima violação a direitos fundamentais dos funcionários e ao regulamento de dados pessoais, o que justificou a aplicação de multa no valor de aproximadamente 35,3 milhões de euros.
Além disso, o órgão exigiu a adoção pela H&M de uma série de medidas, dentre as quais a apresentação de um amplo conceito de proteção de dados a ser implantado na empresa, a indicação de novo responsável pela gestão e proteção de dados, a instrução e esclarecimento dos funcionários acerca da proteção de dados e dos trabalhadores, a atualização mensal do status de proteção de dados e a implantação de um consistente conceito de informação.
Além disso, a empresa foi condenada a indenizar os funcionários lesados em adequada (entenda-se: elevada) quantia, de forma desburocratizada, medida expressamente prevista no art. 82 do RGPD (DSGVO), em vigor no país desde 25/5/2018.
A antiga lei alemã de proteção de dados previa multa máxima de 300 mil euros, mas o regulamento europeu aumentou o limite para 20 milhões ou até 4% do faturamento anual global da empresa. Segundo Michael Fuhlrott, Professor de Direito do Trabalho, o valor da multa imposta é único até agora e não tem a função de compensar o dano causado ou o lucro obtido, mas sim caráter intimidatório e pedagógico para a H&M e outras empresas1.
Trata-se da mais alta multa imposta na Alemanha e a segunda maior na Europa em decorrência de infrações ao regulamento de proteção de dados pessoais. O valor recorde foi aplicado ao Google, multado em 2019 em 50 milhões de euros pela agência francesa de proteção de dados pessoais2.
Discussões em torno do art. 82 do RGPD (DSGVO)
Na esfera processual, discute-se intensamente acerca da indenização prevista no art. 82 RGPD (DSGVO), segundo o qual: "qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indenização do responsável pelo tratamento ou do subcontratante pelos danos sofridos."
Como o direito alemão sempre foi comedido na concessão de danos morais, a primeira dúvida que surge é se basta ao titular dos dados demonstrar a coleta e/ou o uso indevido dos dados pessoais para surgir a pretensão ressarcitória ou se ele deve expor e demonstrar um dano "perceptível" (spürbarer Schaden) para fazer jus à indenização.
Alguns tribunais têm entendido que o mero descumprimento do RGPD (DSGVO) não configuraria dano ressarcível. Outros exigem que o dano experimentado ultrapasse o chamado “limiar da bagatela” (Bagatellschwelle), valor mínimo acima do qual um dano se tornaria juridicamente ressarcível3.
Os lesados argumentam que a coleta ou o tratamento inadmissível de dados pessoais conduz na prática à violação de direitos da personalidade, dando ensejo mais ao surgimento de danos morais do que a danos materiais.
Além disso, o considerando n. 146 do RGPD (DSGVO) determina expressamente que "o conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça [União Europeia], de forma que reflita plenamente os objetivos do presente regulamento". Dessa forma, o conceito de dano deve ser interpretado de forma ampla e a indenização precisa ser elevada o suficiente para desestimular práticas contrárias ao regulamento.
Ademais, o art. 5, inc. 2 do RGPD (DSGVO) afirma que "o responsável pelo tratamento é responsável pelo cumprimento do disposto no n. 1 e tem de poder comprová-lo (responsabilidade)", ou seja, a empresa tem que demonstrar que o tratamento dos dados foi feito em conformidade com o regulamento.
A versão alemã do RGPD fala expressamente em dever de prestar contas (Rechenschaftspflicht), que na versão portuguesa foi traduzida para "responsabilidade", indicando que o responsável pelo tratamento dos dados tem o dever de demonstrar a regularidade da coleta e uso dos dados pessoais.
O caso do trabalhador de Düsseldorf
Na contramão da corrente conservadora, a justiça trabalhista – Arbeitsgericht (ArbG) – de Düsseldorf concedeu generosa indenização a ex-funcionário de uma empresa que demorou a prestar as informações solicitadas acerca do tratamento dos dados pessoais e, quando o fez, forneceu informações vagas e incompletas. Trata-se do processo ArbG Az. 9 Ca 6557/18, julgado em 5/3/2020.
O autor da ação trabalhou na empresa até 31/1/2018 e, após sua saída, solicitou à firma informações minuciosas sobre o processamento de seus dados pessoais: se seus dados estavam sendo tratados pela empresa ou por terceiros parceiros e, em caso positivo, a categoria dos dados, os subcontratantes, base legal, finalidade e duração, se houve tomada de decisões automatizadas a partir de algoritmos comandados por Inteligência Artificial, requisitando, por fim, uma cópia de todos os dados na posse da empresa e indenização por dano moral.
O art. 15, inc. 1 do RGPD (DSGVO) reconhece o direito do titular dos dados de obter do responsável pelo tratamento a informação sobre se seus dados estão sendo ou não objeto de tratamento e, em caso positivo, garante o acesso a inúmeras informações adicionais. Foi com base nesse dispositivo que o ex-empregado solicitou as informações em 7.6.2028, só obtendo resposta em 10/12/2018 por meio de documento eletrônico acompanhado de anexo com mais de 100 páginas.
De forma lacônica, o empregador disse que realizara o tratamento dos dados pessoais do funcionário para fins de execução e cumprimento de obrigações decorrentes da relação trabalhista e que, com base em contratos com outras duas empresas, transferira dados pessoais do autor para países fora da União Europeia, tudo, porém, com arrimo no art. 44 do RGPD (DSGVO).
O magistrado, porém, considerou que as informações foram prestadas injustificadamente fora do prazo de um mês fixado no art. 12, inc. 3 do RGPD (DSGVO) e de forma vaga e incompleta.
O julgador lembrou que o art. 12 do RGPD (DSGVO) exige que as informações fornecidas devem ser precisas, transparentes, inteligíveis e facilmente acessíveis, em linguagem clara e simples. Porém, as centenas de páginas colocadas à disposição do trabalhador não atendiam esses requisitos, contendo informações vagas, imprecisas e insuficientemente detalhadas.
No que aqui interessa, a sentença condenou a empresa a indenizar o ex-funcionário em 5 mil euros a título de dano moral. Segundo o magistrado, as infrações ao RGPD (DSGVO) devem ser sancionadas de forma efetiva e a indenização fixada em “valor intimidatório” (in abschrekender Höhe).
Para tanto, deve-se levar em consideração os critérios fixados no art. 83 do RGPD (DSGVO), como, por exemplo, natureza, gravidade, categoria dos dados pessoais afetados, duração da infração, culpabilidade, as medidas adotadas para minimizar o dano do titular dos dados e anteriores infrações ao regulamento de dados pessoais.
Segundo o Arbeitsgericht, para que a medida indenizatória tenha a eficácia pretendida pelo legislador europeu, o quantum indenizatório não deve se basear apenas no dano (i)material sofrido, mas também na capacidade financeira da empresa infratora, deixando o juiz expressamente consignado que o valor do dano imaterial independe de quanto ganhava o lesado. Diz a sentença:
"Em decorrência das citadas violações, o autor, que não aduziu qualquer dano material, sofreu um dano imaterial nos termos do art. 82, inc. 1 da DSGVO. O conceito do dano deve ser interpretado de forma ampla, de modo a corresponder em total medida aos fins da DSGVO... Um dano imaterial não surge apenas em 'casos evidentes`, quando o tratamento irregular dos dados conduz a uma discriminação, a uma perda de confiança, um dano à honra ou outra desvantagem de cunho social, mas ainda quando a pessoa afetada é impedida ou dificultada em seus direitos e liberdades de controlar seus dados pessoais afetados... Ao mesmo tempo é violado um direito fundamental europeu do autor; o art. 8, inc. 2, período 2 da Carta de Direitos Fundamentais garante expressamente o direito à informação...".4
Considerando aqueles parâmetros e, em especial, a condição financeira da empresa e o atraso injustificado no fornecimento das informações ao titular lesado, o juiz fixou o dano imaterial no valor de 5 mil euros, embora reconhecendo que o tratamento não envolveu categorias especiais de dados pessoais, que houve mera negligência por parte da empresa e que inexistiram outras infrações ao regulamento de proteção de dados.
A apelação interposta foi admitida devido à significação fundamental (grundsätzliche Bedeutung) da questão, de modo que resta aguardar como as cortes superiores – Bundesgerichtshof e Bundesverfassungsgericht – vão decidir a questão.
Por aqui, diante da tendência restritiva ao reconhecimento do dano moral constatada recentemente na jurisprudência, principalmente no direito do consumidor, e da crescente influência da análise econômica do direito nos julgados do Superior Tribunal de Justiça, fica a dúvida se nossos tribunais serão tão rígidos quanto os tribunais europeus diante de infrações à Lei Geral de Proteção de Dados Pessoais.
__________
1 Mitarbeiterüberwachung im Servicecenter: 35 Millionen Euro Bußgeld für H&M wegen Datenschutzverstößen. LTO, 1.10.2020.
2 H&M soll 35 Millionen Euro Bußgeld zahlen. Spiegel, 1.10.2020.
3 WYBITUL, Tim. Nach Urteil über 5.000 Euro für Datenschutzverstoß: Geschäftsmodell Datenschutz-Klage?. LTO, 24.7.2020.
4 "Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht... Ein immaterieller Schaden entsteht nicht nur in den "auf der Hand liegenden Fällen", wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen fu¨hrt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren... Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdru¨cklich.“ ArbG Düsseldorf 9 Ca 6557/18, j. 5.3.2020, Rn. 111.