This document is an excerpt from the EUR-Lex website
Document 62023CJ0655
Acórdão do Tribunal de Justiça (Quarta Secção) de 4 de setembro de 2025.
IP contra Quirin Privatbank AG.
Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Direitos do titular dos dados – Artigo 17.° – Direito ao apagamento dos dados – Artigo 18.° – Direito à limitação do tratamento – Artigo 79.° – Direito à ação judicial – Tratamento ilícito de dados pessoais – Ação inibitória destinada a ordenar ao responsável pelo tratamento que se abstenha de repetir o tratamento ilícito – Fundamento – Condições – Artigo 82.o, n.º 1 – Direito de indemnização – Conceito de “danos imateriais” – Determinação da indemnização – Eventual tomada em consideração do grau de culpa do responsável pelo tratamento – Eventual incidência do benefício de uma “decisão inibitória.
Processo C-655/23.
Acórdão do Tribunal de Justiça (Quarta Secção) de 4 de setembro de 2025.
IP contra Quirin Privatbank AG.
Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Direitos do titular dos dados – Artigo 17.° – Direito ao apagamento dos dados – Artigo 18.° – Direito à limitação do tratamento – Artigo 79.° – Direito à ação judicial – Tratamento ilícito de dados pessoais – Ação inibitória destinada a ordenar ao responsável pelo tratamento que se abstenha de repetir o tratamento ilícito – Fundamento – Condições – Artigo 82.o, n.º 1 – Direito de indemnização – Conceito de “danos imateriais” – Determinação da indemnização – Eventual tomada em consideração do grau de culpa do responsável pelo tratamento – Eventual incidência do benefício de uma “decisão inibitória.
Processo C-655/23.
ECLI identifier: ECLI:EU:C:2025:655
Processo C‑655/23
IP
contra
Quirin Privatbank AG
(pedido de decisão prejudicial apresentado pelo Bundesgerichtshof)
Acórdão do Tribunal de Justiça (Quarta Secção) de 4 de setembro de 2025
«Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Direitos do titular dos dados – Artigo 17.o – Direito ao apagamento dos dados – Artigo 18.o – Direito à limitação do tratamento – Artigo 79.o – Direito à ação judicial – Tratamento ilícito de dados pessoais – Ação inibitória destinada a ordenar ao responsável pelo tratamento que se abstenha de repetir o tratamento ilícito – Fundamento – Condições – Artigo 82.o, n. o 1 – Direito de indemnização – Conceito de “danos imateriais” – Determinação da indemnização – Eventual tomada em consideração do grau de culpa do responsável pelo tratamento – Eventual incidência do benefício de uma “decisão inibitória”
-
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento 2016/679 – Vias de recurso – Obrigação, para os Estados‑Membros, de prever uma via de recurso que permita ordenar ao responsável pelo tratamento que se abstenha de repetir o tratamento ilícito – Inexistência – Regulamentação nacional que permite exercer essa via de recurso na ordem jurídica interna – Admissibilidade
[Carta dos Direitos Fundamentais da União Europeia, artigos 8.°, n.os1.° e 2; Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerandos 1, 10 e 11 e artigo 1.o, n.o 4, pontos 1, 5, 6, 17, 18 e 77 a 79)
(cf. n.os 38‑52, disp. 1)
-
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento 2016/679 – Direito de indemnização e responsabilidade – Direito de indemnização pelos danos sofridos – Dano imaterial – Conceito – Sentimentos negativos sofridos pelo titular dos dados na sequência de uma transmissão não autorizada dos seus dados pessoais a um terceiro – Inclusão – Condições – Necessidade de demonstrar a existência desses sentimentos e das suas consequências negativas devido à violação deste regulamento
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerandos 1, 10, 75, 85 e 146 e artigos 1.° e 82.°, n.o 1)
(cf. n.os 55, 56, 58‑64, disp. 2)
-
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento 2016/679 – Direito de indemnização e responsabilidade – Direito de indemnização pelos danos sofridos – Determinação do montante e da forma de reparação – Regulamentação nacional que autoriza a tomada em consideração do grau de culpa do autor do dano para determinação da indemnização por danos imateriais – Inadmissibilidade
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 146 e artigos 82.° e 83.°)
(cf. n.os 66, 67, 69‑73, disp. 3)
-
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento 2016/679 – Direito de indemnização e responsabilidade – Direito de indemnização pelos danos sofridos – Determinação do montante e da forma de reparação – Tomada em consideração, para reduzir ou excluir a indemnização pecuniária por danos imateriais, de uma decisão inibitória da repetição de uma violação deste regulamento – Inadmissibilidade
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 82.o)
(cf. n.os 77‑79, 81‑83, disp. 4)
Resumo
Chamado a pronunciar‑se a título prejudicial pelo Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha), o Tribunal de Justiça precisa o alcance dos direitos conferidos ao titular dos dados por diversas disposições do RGPD ( 1 ) em caso de tratamento ilícito dos seus dados pessoais.
IP candidatou‑se, através de uma rede social profissional em linha, a um emprego na Quirin Privatbank, sociedade de direito alemão. Posteriormente, uma funcionária desta sociedade utilizou o serviço de correio eletrónico dessa rede para enviar a um terceiro, não envolvido nesse processo de recrutamento, uma mensagem destinada unicamente a IP, na qual o informava do indeferimento das suas pretensões salariais e lhe propunha outra remuneração. Este terceiro, que conhecia o recorrente no processo principal por ter trabalhado com ele anteriormente, reencaminhou‑lhe essa mensagem e perguntou‑lhe se estava à procura de emprego.
IP intentou uma ação no Landgericht Darmstadt (Tribunal Regional de Darmstadt, Alemanha), pedindo que a Quirin Privatbank fosse condenada, por um lado, a abster‑se de qualquer tratamento de dados pessoais relacionados com a sua candidatura suscetível de repetir a divulgação não autorizada dos mesmos e, por outro, a pagar‑lhe uma indemnização pelos danos imateriais sofridos. O órgão jurisdicional de primeira instância julgou a ação procedente.
Na sequência do recurso interposto pela Quirin Privatbank no Oberlandesgericht Frankfurt (Tribunal Regional Superior de Frankfurt, Alemanha), esta sentença foi parcialmente reformada dado que o pedido de indemnização foi julgado improcedente. Com efeito, na opinião desse órgão jurisdicional, IP não forneceu prova de um dano concreto e, mesmo admitindo que sofreu uma humilhação, esta não pode ser qualificada de dano imaterial.
IP e Quirin Privatbank interpuseram, cada um, recurso deste acórdão no Bundesgerichtshof (Supremo Tribunal de Justiça Federal, Alemanha), o órgão jurisdicional de reenvio.
Manifestando dúvidas quanto à interpretação de várias disposições do RGPD, o Supremo Tribunal questionou o Tribunal de Justiça sobre o alcance das vias de recurso, o âmbito do direito de indemnização dos danos sofridos e os critérios que permitem avaliar os danos imateriais indemnizáveis.
Apreciação do Tribunal de Justiça
Num primeiro momento, o Tribunal de Justiça é chamado a pronunciar‑se sobre a questão de saber se as disposições do RGPD preveem, a favor do titular dos dados, pelo tratamento ilícito de dados pessoais de que não pede o seu apagamento, uma via de recurso judicial que lhe permita obter, a título preventivo, que seja ordenado ao responsável pelo tratamento que se abstenha de efetuar novo tratamento ilícito, e se, em caso de resposta negativa, essas disposições impedem os Estados‑Membros de instituírem essa via de recurso nas suas ordens jurídicas respetivas.
A este respeito, o Tribunal salienta que o RGPD não contém disposições que prevejam, explícita ou implicitamente, que o titular dos dados beneficia de um direito a obter, de forma preventiva, por via de ação judicial, que o responsável pelo tratamento de dados pessoais seja obrigado a abster‑se, no futuro, de cometer uma violação das disposições deste regulamento, mais especificamente sob a forma de uma repetição de um tratamento ilícito.
Por outro lado, o Tribunal constata que nenhuma das disposições deste regulamento relativas às vias de recurso ( 2 ) obriga os Estados‑Membros a instituir um recurso preventivo. Em especial, o artigo 79.o, n.o 1, do RGPD, que consagra o direito à ação judicial contra um responsável pelo tratamento, não impõe aos Estados‑Membros que prevejam uma via de recurso específica que permita obter, por via judicial, a título preventivo, uma decisão inibitória.
Contudo, tendo em conta, designadamente, o reconhecimento, pelo RGPD, do direito de o titular dos dados dispor de uma ação judicial efetiva se considerar que os direitos que lhe são conferidos por este regulamento não foram respeitados pelo facto de um tratamento dos seus dados pessoais ter configurado uma violação do referido regulamento, «sem prejuízo» de qualquer outra via de recurso administrativo ou extrajudicial, o Tribunal de Justiça considera que os Estados‑Membros não estão impedidos de prever esse recurso preventivo para ordenar ao responsável pelo tratamento que se abstenha de nova violação dos direitos atribuídos por este regulamento ao titular dos dados.
Sobre esta questão, o Tribunal de Justiça sublinha que várias disposições do RGPD conferem expressamente aos Estados Membros a possibilidade de preverem regras nacionais adicionais, mais rigorosas ou derrogatórias, que lhes permitem uma margem de apreciação quanto ao modo como essas disposições podem ser aplicadas («cláusulas de abertura»). Neste contexto, salienta que, embora as disposições do RGPD que visam as vias de recurso não incluam especificamente essa cláusula de abertura, o legislador da União não pretendeu proceder a uma harmonização exaustiva das vias de recurso disponíveis em caso de violação deste regulamento e, em particular, não excluiu a possibilidade de um recurso preventivo.
O Tribunal de Justiça acrescenta que esta interpretação é confirmada pelos objetivos prosseguidos pelo RGPD. Com efeito, a possibilidade de o titular dos dados intentar uma ação judicial para que seja ordenado a um responsável pelo tratamento que se abstenha, no futuro, de violar as disposições materiais do RGPD é suscetível de reforçar o seu efeito útil e, assim, o elevado nível de proteção dos titulares dos dados no respeitante ao tratamento dos seus dados pessoais.
O Tribunal de Justiça deduz, portanto, que o RGPD não se opõe a que um direito de recurso que visa obter uma decisão inibitória que permite evitar uma eventual violação das disposições materiais deste regulamento, designadamente pela potencial repetição de um tratamento ilícito, esteja disponível com base em disposições do direito de um Estado‑Membro aplicáveis no órgão jurisdicional nacional chamado a pronunciar‑se.
Num segundo momento, o Tribunal de Justiça fornece precisões sobre o conceito de «danos imateriais» que confere ao titular dos dados, ao abrigo do RGPD ( 3 ), o direito de obter do responsável pelo tratamento uma indemnização pelos danos sofridos.
Neste quadro, o Tribunal recorda que o artigo 82.o, n.o 1, do RGPD, relativo ao direito de indemnização, se opõe a uma norma ou a uma prática nacional que subordina a indemnização de um «dano imaterial» à condição de o dano sofrido pelo titular dos dados atingir um certo grau de gravidade. A referida disposição não exige que um dano imaterial alegado pelo titular dos dados atinja um «limiar mínimo» para que esse dano possa ser reparado ( 4 ).
Além disso, o Tribunal de Justiça observa que, situações como as invocadas no litígio no processo principal, relativas a uma «ofensa à reputação» resultante de uma violação de dados pessoais ou a uma «perda de controlo» sobre esses dados, figuram expressamente entre os exemplos de possíveis danos enumerados no RGPD ( 5 ).
Recorda também que o receio, sentido pelo titular dos dados, de que os seus dados pessoais sejam objeto de uma utilização abusiva no futuro, na sequência de uma violação do RGPD, é suscetível de constituir, por si só, um «dano imaterial», desde que esse receio, com as suas consequências negativas, seja devidamente provado, o que cabe ao órgão jurisdicional nacional chamado a decidir verificar ( 6 ).
Assim, o Tribunal de Justiça reconhece que, embora possam, por outro lado, fazer parte dos riscos gerais inerentes à vida corrente, os sentimentos negativos mencionados pelo órgão jurisdicional de reenvio, em particular o receio ou o desagrado, são suscetíveis de constituir «danos imateriais», na aceção do RGPD, desde que o titular dos dados demonstre que tem esses sentimentos, com as suas consequências negativas, precisamente devido à violação em causa deste regulamento, como uma transmissão não autorizada dos seus dados pessoais a um terceiro que gera o risco de uma utilização abusiva dos mesmos, o que incumbe aos juízes nacionais chamados a pronunciar‑se apreciar.
O Tribunal de Justiça sublinha que esta interpretação é conforme com a redação do artigo 82.o, n.o 1, do RGPD, lido à luz dos considerandos 85 e 146 deste regulamento, que convidam a adotar uma conceção ampla do conceito de «danos imateriais», e é corroborada pelo objetivo do referido regulamento que consiste em assegurar um elevado nível de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
Num terceiro momento, o Tribunal de Justiça constata que o artigo 82.o, n.o 1, do RGPD, relativo ao direito de indemnização, se opõe a que o grau de culpa do responsável pelo tratamento seja tido em conta na determinação da indemnização devida por danos imateriais ao abrigo deste artigo.
A este respeito, o Tribunal recorda que, tendo em conta a função exclusivamente compensatória do direito de indemnização, os juízes nacionais são obrigados a assegurar uma indemnização «integral e efetiva» do dano sofrido, sem que seja necessário, para efeitos dessa compensação integral, impor o pagamento de uma indemnização de natureza punitiva ( 7 ).
Precisa que esta função exclusivamente compensatória do direito de indemnização previsto no RGPD opõe‑se a que o grau de gravidade e o eventual caráter doloso da violação deste regulamento cometida pelo responsável pelo tratamento sejam tidos em conta para efeitos da indemnização de danos com este fundamento. Assim, a atitude e a motivação do responsável pelo tratamento não podem ser tidas em conta para, se for caso disso, conceder ao titular dos dados uma indemnização inferior ao dano que ele efetivamente sofreu, quer quanto ao montante quer quanto à forma dessa reparação.
Num quarto e último momento, o Tribunal de Justiça considera que o artigo 82.o, n.o 1, do RGPD se opõe a que a circunstância de o titular dos dados ter obtido, ao abrigo do direito nacional aplicável, uma decisão inibitória da repetição de uma violação deste regulamento, oponível ao responsável pelo tratamento, seja tida em conta para reduzir o valor da indemnização pecuniária devida por danos imateriais ao abrigo deste artigo ou, a fortiori, substituir essa indemnização.
O Tribunal de Justiça recorda que já admitiu que, dentro dos limites decorrentes do princípio da efetividade, certas circunstâncias podem influenciar a determinação da indemnização devida ao abrigo do artigo 82.o do RGPD, em especial para restringir essa indemnização. Ora, uma forma de indemnização prevista pelo direito nacional aplicável só pode ser considerada conforme com o RGPD na medida em que seja suscetível de assegurar uma indemnização integral e efetiva do dano sofrido pelo titular dos dados. Em particular, uma indemnização devida nos termos do artigo 82.o do RGPD não pode ser atribuída sob a forma, em parte ou no todo, de uma decisão inibitória, uma vez que o direito à reparação de um dano cumpre uma função exclusivamente compensatória, ao passo que uma decisão inibitória oponível ao autor do dano tem uma finalidade puramente preventiva.
( 1 ) Artigos 17.°, 18.°, 79.° e 82.° do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).
( 2 ) Capítulo VIII do RGPD, intitulado «Vias de recurso, responsabilidade e sanções», que abrange os seus artigos 77.o a 79.o
( 3 ) Artigo 82.o, n.o 1, do RGPD.
( 4 ) V., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais) (C‑300/21, EU:C:2023:370, n.o 51), e de 4 de outubro de 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, n.os 147 e 149).
( 5 ) V. considerandos 75 e 85 do RGPD.
( 6 ) V., neste sentido, Acórdãos de 20 de junho de 2024, PS (Endereço errado) (C‑590/22, EU:C:2024:536, n.os 32, 35 e 36), e de 4 de outubro de 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, n.os 143, 144 e 155 e jurisprudência referida).
( 7 ) V., neste sentido, Acórdãos de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais) (C‑300/21, EU:C:2023:370, n.os 57 e 58), e de 4 de outubro de 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, n.o 34).