CAPÍTULO II – A mutação ou a “criminalização” do direito administrativo
8. Os princípios gerais em matéria de aplicação das medidas corretivas
A coerente aplicação das normas de proteção de dados pessoais é crucial para um regime de proteção de dados pessoais harmonizado e as coimas,
consagradas no art. 83.º, n.os 4, 5 e 6, do R.G.P.D., constituem um elemento central do
novo regime de execução introduzido pelo Regulamento, representando um forte elemento do conjunto de ferramentas de execução das autoridades de controlo, a
par das medidas corretivas, previstas no art. 58.º, n.º 2, do R.G.P.D.798. Por forma a
garantir uma melhor aplicação e execução do Regulamento por parte das autoridades de controlo e tendo em vista uma abordagem coerente no atinente à
798 Segundo o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de
aplicação e fixação de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017.
173
imposição de coimas e de medida corretivas, o C.E.P.D.799 expõe o seu entendimento
comum acerca do disposto no art. 83.º do R.G.P.D., nomeadamente dos critérios de avaliação constantes do art. 83.º, n.º 2, 2.ª parte, do R.G.P.D., bem como da articulação deste artigo com os arts. 58.º e 70.º do R.G.P.D. e com os considerandos
que lhes estão associados800.
Quando for determinada uma infração ao Regulamento, com base na avaliação dos factos do caso concreto, a autoridade de controlo competente deve
identificar as medidas corretivas mais adequadas para sanar a infração801.
O disposto no art. 58.º, n.º 2, al. a), do R.G.P.D. indica qual a ferramenta que as autoridades de controlo podem empregar a fim de prevenir uma situação de incumprimento por parte de um responsável pelo tratamento de dados ou do seu subcontratante. Por outras palavras, no caso abrangido pela disposição acima
referida, a infração ao Regulamento ainda não teve lugar802. Pelo contrário, o
disposto no art. 58.º, n.º 2, als. b) a j), do R.G.P.D. indica quais as ferramentas que as autoridades de controlo podem empregar a fim de corrigir uma situação de incumprimento por parte de um responsável pelo tratamento de dados ou do seu
subcontratante803.
Porém, relativamente a uma potencial previsão e determinação dos termos
do sancionamento das infrações ao Regulamento não previstas no art. 83.º, n.os 4 a
6, do R.G.P.D., o Regulamento deixa apenas enunciados genéricos, de índole principiológica ou programática, e a exigência de que os Estados-Membros notifiquem a Comissão Europeia “[…] das disposições do direito interno que adotarem nos termos do n.º 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas”, de acordo com o seu art. 84.º, n.º 2. Por isso, esta intervenção legislativa parece não ser suficiente, sendo essencial ter em
799 Que, como vimos, de acordo com o art. 70.º, n.º 1, al. e), do R.G.P.D., está habilitado a emitir “[…] diretrizes, recomendações e melhores práticas, para os procedimentos de apagamento de ligações para os dados pessoais, de cópias ou reproduções desses dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no artigo 17.º, n.º 2”, a fim de incentivar a aplicação coerente do Regulamento, e, especificamente, cfr. o art. 70.º, n.º 1, al. k), do R.G.P.D., a emitir “[…] diretrizes às autoridades de controlo em matéria de aplicação das medidas a que se refere o artigo 58.º, n.os 1, 2 e 3, e de fixação de coimas nos termos do artigo 83.º”.
800 Porém, os tribunais encontram-se vinculados ao Regulamento, e não às diretrizes emitidas pelo C.E.P.D., de acordo com o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de aplicação e fixação
de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017. [Consulta em 20 de
fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VRYiCx. Pág. 4, nota 2. 801 Ibidem, pág. 5.
802 Ibidem, pág. 5, nota 1. 803 Ibidem, pág. 5.
174
consideração as diretrizes do C.E.P.D. para melhor aplicação e execução do Regulamento.
Em primeiro lugar, as infrações ao Regulamento devem conduzir à
imposição de “sanções equivalentes”804. O conceito de «equivalência» é fulcral para
determinar o âmbito das obrigações das autoridades de controlo, a fim de assegurar a coerência na utilização que estas fazem dos seus poderes de correção, nos termos
do art. 58.º, n.º 2, do R.G.P.D., em geral, e na aplicação de coimas, em particular805/806.
De acordo com o considerando n.º 10 do R.G.P.D., “[a] fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados-Membros […]”. Para além disso, o considerando n.º 11 do R.G.P.D. discorre sobre o facto de um nível equivalente e eficaz de proteção dos dados pessoais na União Europeia exigir “[…] o reforço e a especificação dos direitos dos titulares dos dados e as obrigações dos responsáveis pelo tratamento e pela definição do tratamento dos dados pessoais, bem como poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e sanções equivalentes para as infrações nos Estados-Membros”. Ademais, a aplicação de sanções equivalentes em todos os Estados-Membros, bem como uma cooperação eficaz entre as autoridades de controlo dos diferentes Estados- Membros, são vistas como uma forma de “[…] evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno […]”, de acordo com o considerando n.º 13 do R.G.P.D.
O Regulamento estabelece (ou tenta estabelecer) uma base mais sólida do que a Diretiva 95/46/CE, de 24 de outubro de 1995, para um maior nível de coerência, uma vez que o Regulamento é diretamente aplicável nos Estados- Membros. Embora as autoridades de controlo ajam com “total independência”, de acordo com o art. 52.º, n.º 1, do R.G.P.D., relativamente aos governos nacionais, responsáveis pelo tratamento ou seus subcontratantes, estão obrigadas a cooperar
804 Ibidem, pág. 5.
805 Mesmo nos casos em que os sistemas jurídicos de alguns países da União Europeia não permitam a imposição de coimas conforme prevista no Regulamento, a aplicação das normas desses Estados-Membros tem de ter um efeito equivalente às coimas impostas pelas autoridades de controlo, de acordo com o considerando n.º 151 do R.G.P.D.
806 Cfr. o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de aplicação
e fixação de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017. [Consulta em
175
“[…] tendo em vista assegurar a coerência da aplicação e da execução do presente
regulamento”, cfr. o art. 57.º, n.º 1, al. g), do R.G.P.D.807. Mais do que a Diretiva
95/46/CE, o Regulamento insta (ou tenta instar) a uma maior coerência na
imposição de sanções808.
Nos casos transnacionais, a coerência é principalmente assegurada através do mecanismo de cooperação (balcão único) e, em certa medida, através do
procedimento de controlo da coerência, previsto no art. 63.º do R.G.P.D.809. Nos
casos nacionais abrangidos pelo Regulamento, as autoridades de controlo aplicarão as diretrizes do C.E.P.D., num espírito de cooperação, em conformidade com o art. 57.º, n.º 1, al. g), do R.G.P.D. e com o art. 63.º do R.G.P.D., com vista a assegurar a
coerência da aplicação e da execução do Regulamento810.
Embora mantenham a autonomia na escolha das medidas corretivas
apresentadas no art. 58.º, n.º 2, do R.G.P.D., as autoridades de controlo devem evitar
escolher medidas corretivas diferentes para casos semelhantes811. E o mesmo
princípio se aplica às medidas que forem impostas sob a forma de coimas812.
Em segundo lugar, como todas as coimas aplicadas pelas autoridades de controlo, as medidas corretivas por estas escolhidas devem ser “efetivas,
proporcionadas e dissuasivas”813. Como todas as sanções em geral, as medidas
corretivas devem dar resposta adequada à natureza, gravidade e consequências da violação, devendo as autoridades de controlo avaliar todos os factos do caso de forma coerente e objetivamente justificada. A avaliação daquilo que é efetivo, proporcionado e dissuasivo em cada caso individual terá de refletir também o objetivo da medida corretiva selecionada, quer se trate de restaurar o cumprimento
das normas, quer de punir um comportamento ilícito (ou ambos)814.
Nos termos do art. 84.º, n.º 1, 2.ª parte, do R.G.P.D., “[a]s sanções previstas
devem ser efetivas, proporcionadas e dissuasivas”815 e os Estados-Membros devem
807 Ibidem, pág. 5. 808 Ibidem, pág. 5. 809 Ibidem, pág. 5. 810 Ibidem, pág. 5. 811 Ibidem, págs. 5-6. 812 Ibidem, pág. 6. 813 Ibidem, pág. 6. 814 Ibidem, pág. 6.
815 Cfr. o considerando n.º 129 do R.G.P.D. “[…] cada medida deverá ser adequada, necessária e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstâncias de cada caso concreto [...]” e, como já referimos, cfr. o considerando n.º 148 do R.G.P.D., “[…] [e]m caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima […]”, o que nos leva a concluir que a aplicação das coimas e das medidas corretivas obedece a critérios de proporcionalidade.
176
tomar “[…] todas as medidas necessárias para garantir a sua aplicação […]”, de
acordo com o art. 84.º, n.º 1, 1.ª parte, in fine, do R.G.P.D. Também cfr. o art. 83.º, n.os
1 e 9, do R.G.P.D., a aplicação de coimas relativamente a violações do presente regulamento é, em cada caso individual, efetiva, proporcionada e dissuasiva, tanto em casos nacionais, nos termos do art. 55.º do R.G.P.D., como em casos que impliquem o tratamento transnacional de dados pessoais, na aceção do art. 4.º, n.º
23, do R.G.P.D.816.
Estas diretrizes reconhecem que a legislação nacional pode impor requisitos adicionais para o procedimento de execução a observar pelas autoridades de controlo. Tal pode incluir, nomeadamente, notificações de endereço, formulários, prazos para apresentação de alegações, recursos, execução e pagamento. Contudo, tais requisitos não devem impedir, na prática, a consecução da efetividade, da
proporcionalidade ou do caráter dissuasivo817.
Uma determinação mais precisa da efetividade, da proporcionalidade ou do caráter dissuasivo será efetuada com base na prática emergente no seio das autoridades de controlo (em matéria de proteção de dados, mas também de lições retiradas de outros domínios regulados), assim como na jurisprudência resultante
da interpretação desses princípios818.
Em terceiro lugar, a autoridade de controlo competente fará uma avaliação “em cada caso individual”. Por um lado, porque as coimas podem ser impostas em
resposta a um amplo leque de infrações, previstas no art. 83.º, n.os 4 a 6, do R.G.P.D.,
e, por outro lado, porque o direito de um Estado-Membro pode permitir ou até mandatar a imposição de uma sanção em razão da infração a outras disposições para
além das referidas no art. 83.º, n.os 4 a 6, do R.G.P.D., nos termos do art. 84.º, n.º 1,
1.ª parte, do R.G.P.D.819. Por estas razões, o Regulamento exige a avaliação de cada
caso individualmente820.
O art. 83.º, n.º 2, 2.ª parte, do R.G.P.D., é o ponto de partida para esta
avaliação individual821. Esse número refere que “[…] [a]o decidir sobre a aplicação
816 Segundo o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de
aplicação e fixação de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017.
[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VRYiCx. Pág. 6. 817 Ibidem, pág. 6.
818 Ibidem, pág. 6. 819 Ibidem, pág. 7. 820 Ibidem, pág. 7.
821 Contudo, para além da aplicação dos critérios constantes do art. 83.º, n.º 2, 2.ª parte, do R.G.P.D., existem outras disposições que reforçam a base desta abordagem, nomeadamente: o considerando n.º 141 consagra que “[…] [a] investigação decorrente de uma reclamação deverá ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso específico […]”; o
177
de uma coima e sobre o montante da coima em cada caso individual, é tido em devida
consideração o seguinte [...]”822.
Em conformidade com o que precede, e à luz também do considerando n.º
148 do R.G.P.D.823, a autoridade de controlo é responsável pela escolha das medidas
sancionatórias mais adequadas. Nos casos mencionados no art. 83.º, n.os 4 a 6, do
R.G.P.D., esta escolha tem de ter em conta todas as medidas corretivas, o que implica considerar a imposição da coima adequada, quer conjugada com uma medida
corretiva, nos termos do art. 58.º, n.º 2, al. i), do R.G.P.D., quer autonomamente824.
As coimas são uma ferramenta importante, que deve ser utilizada pelas autoridades de controlo em circunstâncias adequadas e as autoridades de controlo são incentivadas a adotar uma abordagem ponderada e equilibrada no que se refere à utilização de medidas corretivas, a fim de assegurar uma resposta à infração que seja simultaneamente efetiva, dissuasiva e proporcionada. O objetivo consiste em não qualificar as coimas como último recurso e em não evitar a sua aplicação, embora, por outro lado, não se deva recorrer às coimas de uma forma que
prejudique a sua efetividade enquanto ferramenta825.
O C.E.P.D., quando competente no âmbito da resolução de litígios, em conformidade com o art. 65.º do R.G.P.D., emitirá uma decisão vinculativa relativa a litígios entre autoridades no que se refere, em especial, à determinação da existência de violação. Nos casos em que a objeção pertinente e fundamentada suscite a questão da conformidade da medida corretiva com o R.G.P.D., nos termos do art. 65.º, n.º 1, al. a), do R.G.P.D., a decisão do C.E.P.D. versará também sobre o modo
considerando n.º 129 refere que “[…] [e]m particular, cada medida deverá ser adequada, necessária e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstâncias de cada caso concreto [...]”; e o art. 57.º, n.º 1, al. f), do R.G.P.D. prevê como atribuição das autoridades de controlo tratar “[…] as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.º, e investigar, na medida do necessário, o conteúdo da reclamação [...]”.
822 Cfr. o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de aplicação
e fixação de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017. [Consulta em
20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VRYiCx. Pág. 7.
823 A saber: “[a] fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima. Importa, porém, ter em devida conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou subcontratante, o cumprimento de um código de conduta ou quaisquer outros fatores agravantes ou atenuantes. A imposição de sanções, incluindo coimas, deverá estar sujeita às garantias processuais adequadas em conformidade com os princípios gerais do direito da União e a Carta, incluindo a proteção jurídica eficaz e um processo equitativo”.
824 Nestes termos, vide GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes
de aplicação e fixação de coimas para efeitos do Regulamento 2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017.
[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VRYiCx. Pág. 7. 825 Ibidem, pág. 7.
178
como os princípios da efetividade, da proporcionalidade e da dissuasão são observados na coima proposta no projeto de decisão da autoridade de controlo competente. Numa fase posterior, serão apresentadas separadamente orientações do C.E.P.D. relativas à aplicação do art. 65.º do R.G.P.D., para maior detalhe sobre o
tipo de decisão a tomar pelo C.E.P.D.826.
Em quarto lugar, a abordagem harmonizada das coimas no domínio da
proteção de dados, de acordo com o art. 83.º, n.os 4, 5 e 6, do R.G.P.D., exige a
participação ativa e o intercâmbio de informações entre autoridades de controlo827.
As presentes diretrizes do C.E.P.D. reconhecem que as competências em matéria de coimas representam, para algumas autoridades de controlo nacionais, uma novidade no domínio da proteção de dados, suscitando várias questões em
termos de recursos828, organização e procedimento. Por isso, as autoridades de
controlo devem cooperar entre si e, se for caso disso, com a Comissão Europeia, através dos mecanismos de cooperação estabelecidos no Regulamento, a fim de apoiar intercâmbios formais e informais de informações, designadamente através de seminários regulares. Tal cooperação deve incidir, na sua experiência e prática, na aplicação das competências em matéria de coimas, a fim de, em última instância, adquirirem maior coerência. Para além de suscitar jurisprudência relativa à utilização dessas competências, o intercâmbio proativo de informações pode levar a um reexame dos princípios ou de pormenores específicos das presentes diretrizes829.