–

em representação de AT e de VX, por O. Leuze, Rechtsanwalt,

–

em representação da Gemeinde Ummendorf, por A. Staudacher, Rechtsanwalt,

–

em representação da Irlanda, por M. Browne, A. Joyce e M. Tierney, na qualidade de agentes, assistidos por D. Fennelly, BL,

–

em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 82.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe duas pessoas singulares, AT e VX, à Gemeinde Ummendorf (Município de Ummendorf, Alemanha), a respeito do arbitramento de uma indemnização, ao abrigo do artigo 82.o, n.o 1, do RGPD, para reparação do sofrimento (pretium doloris) que afirmam ter tido com a divulgação, sem o seu consentimento, dos seus dados pessoais no sítio Internet deste município.

3

O considerando 146, primeiro, terceiro e sexto períodos, do RGPD tem a seguinte redação:

«O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento. […] O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça [da União Europeia], de uma forma que reflita plenamente os objetivos do presente regulamento. […] Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido. […]»

4

O artigo 5.o, n.o 1, alínea a), deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe:

«Os dados pessoais são:

5

O artigo 82.o do referido regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», prevê, no seu n.o 1:

«Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.»

6

Em 19 de junho de 2020, o Município de Ummendorf, sem o consentimento dos recorrentes no processo principal, publicou na Internet a ordem do dia de uma reunião do Conselho Municipal, na qual os respetivos nomes eram mencionados várias vezes, bem como uma sentença, proferida em 10 de março de 2020 pelo Verwaltungsgericht Sigmaringen (Tribunal Administrativo de Sigmaringen, Alemanha), que referia igualmente os nomes próprios e de família dos recorrentes e o respetivo endereço. Estes documentos estiveram acessíveis na página inicial do sítio Internet deste município até 22 de junho de 2020.

7

Considerando que esta publicação violava o RGPD e que o Município de Ummendorf tinha agido intencionalmente, uma vez que os nomes das outras partes no processo que conduziu à referida sentença tinham sido suprimidos, os recorrentes no processo principal pediram ao município que indemnizasse os danos imateriais que afirmavam ter sofrido, na aceção do artigo 82.o, n.o 1, deste regulamento. Consideram que a divulgação ilícita dos dados pessoais de uma pessoa configura um «dano», na aceção desta disposição, não podendo ser invocado um «limiar mínimo», que seria contrário à sistemática do RGPD e ao efeito dissuasivo da referida disposição.

8

Em contrapartida, o Município de Ummendorf considera que a reparação de um «dano imaterial», na aceção do artigo 82.o, n.o 1, do RGPD, exige a demonstração de um prejuízo tangível e de uma violação objetivamente concebível de interesses pessoais.

9

Chamado a pronunciar‑se em sede de recurso sobre o litígio entre as partes no processo principal, o Landgericht Ravensburg (Tribunal Regional de Ravensburg, Alemanha), o aqui órgão jurisdicional de reenvio, considera que, ao publicar na Internet dados pessoais dos recorrentes no processo principal, o Município de Ummendorf violou o artigo 5.o, n.o 1, alínea a), do RGPD. No entanto, esse órgão jurisdicional interroga‑se sobre a questão de saber se essa publicação causou aos referidos recorrentes um dano imaterial, na aceção do artigo 82.o, n.o 1, deste regulamento, de modo que lhes confira o direito ao pagamento de uma indemnização pelo sofrimento.

10

Em especial, o órgão jurisdicional de reenvio considera que a simples perda de controlo sobre os dados pessoais dos recorrentes no processo principal não basta para caracterizar um dano imaterial, na aceção do artigo 82.o, n.o 1, do RGPD. Considera que, para que se admita a existência de um dano imaterial, deve ser ultrapassado um «limiar mínimo» e que tal não se verifica quando os titulares dos dados tenham apenas sido privados do controlo sobre os seus dados durante um curto período de tempo, sem que isso lhes tenha causado um prejuízo tangível e sem que tenha sido demonstrada uma violação objetivamente concebível dos seus interesses pessoais.

11

Nestas circunstâncias, o Landgericht Ravensburg (Tribunal Regional de Ravensburg) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«Deve o conceito de danos imateriais, constante do artigo 82.o, n.o 1, do [RGPD], ser interpretado no sentido de que a existência de danos imateriais pressupõe um prejuízo tangível e uma afetação objetivamente evidente de interesses pessoais, ou é suficiente, para esse efeito, que o interessado tenha sido privado, durante um curto período, do controlo dos seus dados, devido à publicação de dados pessoais na Internet por um período de poucos dias, sem que isso tenha tido para o interessado nenhuma consequência tangível ou adversa?»

12

Com a sua questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que se opõe a uma legislação nacional ou a uma prática nacional que fixa um «limiar mínimo» para caracterizar um dano imaterial que teve origem numa violação deste regulamento.

13

A este respeito, há que recordar que esta disposição prevê que «[q]ualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos».

14

Como o Tribunal de Justiça sublinhou, resulta da redação do artigo 82.o, n.o 1, do RGPD que a existência de um «dano» ou de um «[prejuízo]» que foi «sofrido» constitui um dos requisitos do direito de indemnização previsto na referida disposição, tal como a existência de uma violação do RGPD e de um nexo de causalidade entre esse dano e essa violação, sendo estes três requisitos cumulativos [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial ligado ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.o 32; e, desta data, Natsionalna agentsia za prihodite, C‑340/21, n.o 77]. Daqui resulta que estes três requisitos são necessários e suficientes para ter direito à reparação, na aceção da referida disposição.

15

Tendo em conta a inexistência de qualquer referência, no artigo 82.o, n.o 1, do RGPD, ao direito interno dos Estados‑Membros, o conceito de «dano imaterial», na aceção desta disposição, deve acolher uma definição autónoma e uniforme, própria do direito da União [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial ligado ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.os 30 e 44].

16

Nesta perspetiva, baseando‑se em considerações de ordem simultaneamente literal, sistemática e teleológica, o Tribunal de Justiça interpretou o artigo 82.o, n.o 1, do RGPD no sentido de que se opõe a uma norma ou a uma prática nacional que subordina a indemnização de um «dano imaterial», na aceção desta disposição, [ao requisito] de o dano sofrido pelo titular dos dados atingir um certo grau de gravidade [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial ligado ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.o 51; e desta data, Natsionalna agentsia za prihodite, C‑340/21, n.o 78].

17

Assim, não se pode considerar que, além dos três requisitos enunciados no n.o 14 do presente acórdão, podem ser acrescentados outros requisitos para desencadear a responsabilidade prevista no artigo 82.o, n.o 1, do RGPD, como o caráter tangível do dano ou o caráter objetivo da lesão.

18

Daqui resulta que o artigo 82.o, n.o 1, do RGPD não exige que, na sequência da violação comprovada de disposições deste regulamento, o «dano imaterial» alegado pelo titular dos dados deva atingir um «limiar mínimo» para que esse dano possa ser reparado.

19

Esta interpretação é corroborada pelo considerando 146, terceiro período, do RGPD, que enuncia que «o conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos [deste regulamento]». Ora, esta conceção lata do conceito de «dano» ou de «[prejuízo]», privilegiada pelo legislador da União, seria contrariada se o referido conceito estivesse apenas circunscrito aos danos ou aos prejuízos de uma certa gravidade, em especial quanto à duração do período durante o qual foram sofridas, pelos titulares dos dados, as consequências negativas da violação do referido regulamento [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Danos imateriais ligados ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.o 46; e desta data, Natsionalna agentsia za prihodite, C‑340/21, n.o 81].

20

Além disso, tal interpretação está em conformidade com um dos objetivos do RGPD, que consiste em assegurar um nível coerente e elevado de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União. Com efeito, subordinar a indemnização de um dano imaterial a um certo limiar de gravidade poderia prejudicar a coerência do regime Instituído por este regulamento, uma vez que a graduação deste limiar, de que dependeria, ou não, a possibilidade de obter a referida indemnização, seria suscetível de variar em função da apreciação dos juízes chamados a pronunciar‑se [v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial ligado ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.os 48 e 49].

21

O titular de dados pessoais afetado por uma violação do RGPD que tenha produzido consequências negativas a seu respeito está, todavia, obrigado a demonstrar que estas consequências constituem um dano imaterial, na aceção do artigo 82.o deste regulamento [v., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Danos imateriais ligados ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.o 50; e desta data, Natsionalna agentsia za prihodite, C‑340/21, n.o 84]. Com efeito, a simples violação das disposições deste regulamento não é suficiente para conferir um direito a indemnização [Acórdãos de 4 de maio de 2023, Österreichische Post (Dano moral ligado ao tratamento de dados pessoais),C‑300/21, EU:C:2023:370, n.o 42].

22

Nestas condições, embora nada se oponha a que a publicação na Internet de dados pessoais e a perda consecutiva de controlo sobre estes durante um curto período de tempo possam causar aos titulares dos dados um «dano imaterial», na aceção do artigo 82.o, n.o 1, do RGPD, que dê direito a indemnização, é ainda necessário que esses titulares demonstrem que sofreram efetivamente esse dano, ainda que mínimo.

23

Tendo em conta os fundamentos precedentes, há que responder à questão submetida que o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que se opõe a uma legislação nacional ou a uma prática nacional que fixa um «limiar mínimo» para caracterizar um dano imaterial que teve origem numa violação deste regulamento. O titular dos dados está obrigado a demonstrar que as consequências dessa violação que alega ter sofrido constituem um dano que se diferencia da simples violação das disposições do referido regulamento.

24

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

O artigo 82.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

se opõe a uma legislação nacional ou a uma prática nacional que fixa um «limiar mínimo» para caracterizar um dano imaterial que teve origem numa violação deste regulamento. O titular dos dados está obrigado a demonstrar que as consequências dessa violação que alega ter sofrido constituem um dano que se diferencia da simples violação das disposições do referido regulamento.