Na senda do artigo 80 do RGPD

O futuro das ações coletivas sobre proteção de dados

Max Schrems, fundador da ONG “Europa versus Facebook” e atual leader da ONG Noyb.eu (None of Your Business) é um ativista da proteção de dados que tem vindo a mostrar a relevância do artigo 80 do RGPD.

O ativismo de Max Schrems tem consequências! Ser “à-prova-de-Schrems” é mais que um selo de conformidade. Não faltam motivos para Schrems ser malquisto por muitos. Max Schrems foi responsável pelo desmoronar do acordo Safe Harbor EU-U.S. referente à recolha, utilização e retenção de dados pessoais. Max Schrems denunciou irregularidades de privacidade da Facebook, Apple, Microsoft, Skype e Yahoo.


“In practice many individual users are not willing to file legal actions against obvious privacy violations, because of (often rather trivial) costs if a case is lost. This leads to almost no litigation in privacy cases, even if costs are low”

Max Schrems

O RGPD, no artigo 80, introduziu a possibilidade de serem criadas ONGs (organizações não-governamentais) ou associações sem fins lucrativos, que sejam devidamente constituídas ao abrigo do direito de um Estado-Membro representativas dos titulares dos dados que podem apresentar queixa em nome dos lesados por violações de dados. Mais, os Estados-Membros podem prever que essas organizações possam nesse Estado-Membro, apresentar uma reclamação à autoridade de controlo competente caso considerem que os direitos dos titulares foram violados em virtude do tratamento, e isto, independentemente de um mandato conferido pelo titular dos dados.

A Dra. Cristina Pimenta Coelho, no livro “Comentário ao Regulamento Geral de Proteção de Dados”, interpreta o artigo 80 referindo que “um lugar paralelo que podemos encontrar no ordenamento jurídico interno é o das associações sindicais que, de acordo com o artigo 56.° da Constituição da República Portuguesa “representam”, ou melhor, defendem por “direito próprio” os direitos e interesses, individuais ou coletivos, dos trabalhadores, não sendo meras representantes ou mandatárias dos trabalhadores.”

É impossível referir o artigo 80 sem mencionar as queixas da Noyb e da “La Quadrature du Net” à CNIL (autoridade para a proteção de dados de França) que fundamentaram a coima de 50 milhões de euros à Google.

Em 28 de maio de 2018, La Quadrature du Net juntamente com 12.000 pessoas, apresentaram à CNIL queixa contra GAFAM (Google, Apple, Facebook, Amazon, Microsoft). As reclamações apresentadas contestam a manipulação automática e individual realizada pela GAFAM. Valendo-se do RGPD, La Quadrature du Net procura proibir o pagamento de um serviço com dados pessoais. Para a ação coletiva contra a GAFAM, La Quadrature du Net desenvolveu um site específico que se pode aceder aqui.

Estes desenvolvimentos a nível europeu ainda não tiveram expressão equivalente em Portugal, mas espera-se que seja uma questão de tempo.

Em Portugal, o único caso digno de referência é o protagonizado pela DECO.

O exemplo da ação coletiva da DECO contra o Facebook (aqui) é uma importante pedrada no charco, mas percebe-se que falta à DECO o foco na proteção de dados, ao limitar-se, num ano, a um único caso que, por sinal, não tem impacto nas organizações portuguesas responsáveis pelo tratamento de dados pessoais.

Existem outras intervenções da DECO ao nível da proteção de dados, mas são casos pontuais que não sendo ações coletivas não têm o mesmo impacto ao nível do cumprimento do RGPD, como por exemplo, a oportuna intervenção da DECO junto da CP – Comboios de Portugal, sobre a atuação dos revisores (aqui).

Porque razão a DECO não moveu uma ação coletiva contra o Centro Hospitalar Barreiro-Montijo, Tribunal de Guimarães, Sociedade de Advogados PLMJ, ou os Transportes Intermodais do Porto (TIP)? Casos já referidos, anteriormente neste blog (aqui).

Pede-se que a futura legislação portuguesa para a aplicação do RGPD promova e facilite a ação das ONGs. Com os meios existentes não é possível exigir à autoridade portuguesa (CNPD) que force a generalidade das organizações que operam em Portugal a estarem conformes com o RGPD. É preciso ser realista e compreender que só o recurso às ONGs poderá ultrapassar as sérias distorções à sã concorrência induzidas por uns cumprirem a lei por mote próprio e outros confiarem nas limitadas capacidades de intervenção da CNPD. E, sobretudo, compreender que, de uma forma geral, as ONGs poderão ser um precioso auxiliar da CNPD na aplicação do RGPD.

Não basta as organizações pensarem se vale a pena arriscar a inconformidade RGPD porque a CNPD tem uma reduzida capacidade de intervenção. As organizações também têm que pensar sobre a capacidade de intervenção das ONGs focadas em formalizar queixas à CNPD e em desenvolver ações coletivas sobre proteção de dados. E quando consideram a capacidade de intervenção das ONGs devem ponderar a facilidade de relacionamento das ONGs com denunciantes (whistleblowers) e clientes mistério.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply