–

em representação de GP, por H. Schöning, Rechtsanwalt,

–

em representação de juris GmbH, por E. Brandt e C. Werkmeister, Rechtsanwälte,

–

em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e M. Lane, na qualidade de agentes, assistidos por D. Fennelly, BL,

–

em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 82.o, n.os 1 e 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), lido em conjugação com os artigos 29.o e 83.o deste regulamento, bem como à luz dos considerandos 85.o e 146.o do mesmo.

2

Este pedido foi apresentado no âmbito de um litígio que opõe GP, uma pessoa singular, à juris GmbH, uma sociedade estabelecida na Alemanha, a respeito da indemnização dos danos que GP alega ter sofrido devido a diversos tratamentos dos seus dados pessoais realizados para efeitos de publicidade direta, apesar das declarações de oposição que transmitiu à referida sociedade.

3

Os considerandos 85, 146 e 148 do RGPD têm a seguinte redação:

[…]

[…]

4

O artigo 4.o deste regulamento, sob a epígrafe «Definições», estabelece:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]»

5

O artigo 5.o do referido regulamento enuncia uma série de princípios relativos ao tratamento de dados pessoais.

6

Incluído no capítulo III do RGPD, relativo aos «[d]ireitos do titular dos dados», o artigo 21.o, sob a epígrafe «Direito de oposição», prevê no seu n.o 3:

«Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.»

7

O capítulo IV deste regulamento, intitulado «Responsável pelo tratamento e subcontratante», inclui os artigos 24.o a 43.o deste.

8

O artigo 24.o do referido regulamento, sob a epígrafe «Responsabilidade do responsável pelo tratamento», estabelece nos n.os 1 e 2:

«1.   Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2.   Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.»

9

O artigo 25.o deste regulamento, sob a epígrafe «Proteção de dados desde a conceção e por defeito», prevê no seu n.o 1:

«Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.»

10

O artigo 29.o do RGDP, sob a epígrafe «Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante», dispõe:

«O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não procede ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se a tal for obrigado por força do direito da União ou dos Estados‑Membros.»

11

O artigo 32.o deste regulamento, sob a epígrafe «Segurança do tratamento», estabelece:

«1.   Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:

[…]

[…]

2.   Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

[…]

4.   O responsável pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado‑Membro.»

12

O capítulo VIII do RGPD, intitulado «Vias de recurso, responsabilidade e sanções», inclui os artigos 77.o a 84.o deste.

13

O artigo 79.o deste regulamento, sob a epígrafe «Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante», estabelece, no seu n.o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.»

14

O artigo 82.o do referido regulamento, sob a epígrafe «Direito de indemnização e responsabilidade», dispõe nos seus n.os 1 a 3:

«1.   Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2.   Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. […]

3.   O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.»

15

O artigo 83.o do RGDP, sob a epígrafe «Condições gerais para a aplicação de coimas», estabelece nos seus n.os 2, 3 e 5:

«2.   […] Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

[…]

3.   Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

[…]

5.   A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20000000 [euros] ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

[…]»

16

O artigo 84.o deste regulamento, sob a epígrafe «Sanções», dispõe, no seu n.o 1:

«Os Estados‑Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo [83.o], e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.»

17

O demandante no processo principal, uma pessoa singular que exerce a advocacia enquanto profissional liberal, era cliente da juris, uma sociedade que explora uma base de dados jurídica.

18

Em 6 de novembro de 2018, após ter tido conhecimento de que os seus dados pessoais também eram utilizados pela juris para fins de publicidade direta, o demandante no processo principal revogou, por escrito, todos os seus consentimentos para ser informado, por correio eletrónico ou por telefone, e opôs‑se a qualquer tratamento desses dados, com exceção do envio de newsletters, de que pretendia continuar a ser destinatário.

19

Apesar desta diligência, em janeiro de 2019, o demandante no processo principal recebeu dois folhetos publicitários que lhe foram pessoalmente dirigidos, para o endereço do seu escritório. Por carta enviada à juris, em 18 de abril de 2019, o demandante no processo principal recordou esta última da sua oposição a qualquer publicidade direta, indicando que a produção desses folhetos tinha dado origem a um tratamento ilícito dos seus dados, pedindo‑lhe ainda uma indemnização pelos danos sofridos ao abrigo do artigo 82.o do RGPD. Tendo recebido um novo folheto publicitário, em 3 de maio de 2019, o demandante reiterou a sua oposição, a qual, desta vez, foi notificada à juris através de um oficial de diligências.

20

Cada um dos referidos folhetos publicitárias continha um «código de teste pessoal» que permitia aceder, na página Internet da juris, a um formulário de encomenda de produtos desta sociedade que continha menções relativas ao demandante no processo principal, como foi constatado, a pedido deste último, por um notário, em 7 de junho de 2019.

21

O demandante no processo principal intentou no Landgericht Saarbrücken (Tribunal Regional de Saarbrücken, Alemanha), que é o órgão jurisdicional de reenvio no presente processo, uma ação destinada a obter, com base no artigo 82.o, n.o 1, do RGPD, uma indemnização pelos seus danos materiais relacionados com as despesas efetuadas pelo oficial de justiça, bem como pelos seus danos imateriais. O demandante no processo principal sustenta, nomeadamente, que sofreu uma perda de controlo sobre os seus dados pessoais, devido aos tratamentos destes efetuados pela juris, apesar das suas declarações de oposição, e que pode obter uma indemnização a esse título sem ter de demonstrar os efeitos ou a gravidade da violação dos seus direitos, garantidos pelo artigo 8.o da Carta dos Direitos Fundamentais da União Europeia e precisados por este regulamento.

22

Em sua defesa, a juris nega qualquer responsabilidade, alegando que tinha efetivamente lançado um procedimento de gestão das declarações de oposição à publicidade e que a tomada em consideração tardia das declarações do recorrente no processo principal se deveu tanto ao facto de um dos seus colaboradores não ter respeitado as instruções que tinham sido transmitidas como ao facto de que teria sido excessivamente oneroso ter em conta essas declarações de oposição. Mais alega a juris que a simples violação de uma obrigação decorrente do RGPD, como a que decorre do seu artigo 21.o, n.o 3, não pode constituir, por si só, um «dano», na aceção do artigo 82.o, n.o 1, deste regulamento.

23

Em primeiro lugar, o órgão jurisdicional de reenvio parte, desde logo, do pressuposto de que o direito a indemnização previsto no artigo 82.o, n.o 1, do RGPD está sujeito ao concurso de três requisitos, a saber, uma violação deste regulamento, um dano material ou imaterial e um nexo de causalidade entre essa violação e esses danos. Em seguida, tendo em conta as pretensões do demandante no processo principal, este órgão jurisdicional interroga‑se sobre se se deve, no entanto, considerar que uma violação do RGPD constitui, por si só, um dano imaterial que confere direito a uma indemnização, em especial, quando a disposição violada deste regulamento confere um direito subjetivo ao titular dos dados. Por último, uma vez que o direito alemão subordina a reparação pecuniária de um dano imaterial à exigência de uma violação grave dos direitos protegidos, esse órgão jurisdicional interroga‑se sobre se se deve aplicar uma restrição análoga aos pedidos de indemnização ao abrigo do RGPD, à luz das indicações relativas ao conceito de «dano» que figuram nos considerandos 85 e 146 deste regulamento.

24

Em segundo lugar, o referido órgão jurisdicional considera possível que resulte do artigo 82.o do RGPD que, quando tenha sido declarada a existência de uma violação deste regulamento, esta última possa ser imputável ao responsável pelo tratamento, pelo que existiria uma responsabilidade por culpa presumida, ou mesmo sem culpa, deste. Além disso, depois de ter sublinhado que o n.o 3 deste artigo não especifica as exigências de prova concretamente ligadas à isenção prevista nesse número, o órgão jurisdicional de reenvio salienta que, se fosse permitido ao responsável pelo tratamento se eximir da sua responsabilidade limitando‑se a alegar, em termos gerais, um comportamento culposo de um dos seus colaboradores, isso limitaria significativamente o efeito útil do direito a indemnização previsto no n.o 1 do referido artigo.

25

Em terceiro lugar, o órgão jurisdicional de reenvio pretende saber, nomeadamente, se, para avaliar o montante da indemnização pecuniária de um dano, em especial por danos imateriais, que é devida nos termos do artigo 82.o do RGPD, também podem, ou até devem ser tidos em conta, no âmbito deste artigo, os critérios previstos no seu artigo 83.o, n.os 2 e 5, para estabelecer o montante das coimas.

26

Em quarto e último lugar, esse órgão jurisdicional salienta que, no litígio que lhe foi submetido, os dados pessoais do demandante no processo principal foram objeto de vários tratamentos para fins de publicidade direta, não obstante as reiteradas declarações de oposição transmitidas pelo interessado. Por conseguinte, o órgão jurisdicional de reenvio pretende determinar se, ao existir uma pluralidade de violações do RGPD, estas últimas devem ser tidas em conta de forma individual ou global para fixar o montante da indemnização eventualmente devida nos termos do artigo 82.o deste regulamento.

27

Nestas condições, o Landgericht Saarbrücken (Tribunal Regional de Saarbrücken) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

28

A título preliminar, a juris sustenta, em substância, que a primeira questão é inadmissível na medida em que visa determinar se a aquisição do direito a indemnização previsto no artigo 82.o do RGPD está subordinada à exigência de que o dano alegado pelo titular dos dados, conforme definido no artigo 4.o, ponto 1, deste regulamento, tenha atingido um certo grau de gravidade. A juris considera que esta questão não é pertinente para decidir o litígio no processo principal, uma vez que os danos invocados pelo demandante no processo principal, a saber, uma perda de controlo sobre os seus dados pessoais, não se verificaram, visto que estes dados foram objeto de um tratamento lícito, no sentido de que se inserem na relação contratual que vinculava as partes nesse litígio.

29

A este respeito, importa recordar que o juiz nacional, que foi chamado a dirimir o litígio e que deve assumir a responsabilidade pela decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão, como a pertinência das questões que submete ao Tribunal de Justiça, as quais gozam de uma presunção de pertinência. Por conseguinte, desde que a questão submetida seja relativa à interpretação ou à validade do direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se, salvo se for manifesto que a interpretação solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto ou de direito necessários para dar uma resposta útil à referida questão [Acórdão de 4 de maio de 2023, Österreichische Post (Dano imaterial relacionado com o tratamento de dados pessoais), C‑300/21, EU:C:2023:370, n.o 23 e jurisprudência referida].

30

No caso em apreço, a primeira questão diz respeito às condições exigidas para o exercício do direito de indemnização previsto no artigo 82.o do RGPD. Além disso, não é manifesto que a interpretação solicitada seja desprovida de relação com o litígio no processo principal ou que o problema suscitado tenha caráter hipotético. Com efeito, por um lado, este litígio diz respeito a um pedido de indemnização abrangido pelo regime de proteção dos dados pessoais instituído pelo RGPD. Por outro lado, esta questão visa, em substância, determinar se, para efeitos da aplicação das regras de responsabilidade enunciadas por este regulamento, é necessário não só que exista um dano imaterial distinto da violação do referido regulamento mas também que esse dano ultrapasse um certo limiar de gravidade.

31

Por conseguinte, a segunda questão é admissível.

32

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que uma violação de disposições deste regulamento que conferem direitos ao titular dos dados basta, por si só, para constituir um «dano imaterial», na aceção dessa disposição, independentemente do grau de gravidade do dano sofrido por esse titular.

33

A título preliminar, há que recordar que o artigo 82.o, n.o 1, do RGPD estabelece que «[q]ualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos».

34

O Tribunal de Justiça já interpretou o artigo 82.o, n.o 1, do RGPD no sentido de que a simples violação deste regulamento não basta para conferir um direito a indemnização, uma vez que a existência de «danos», materiais ou imateriais, ou de «danos sofridos» constitui um dos requisitos do direito de indemnização previsto no referido artigo 82.o, n.o 1, bem como a existência de uma violação deste regulamento e de um nexo de causalidade entre esses danos e essa violação, uma vez que estes três requisitos são cumulativos (v., neste sentido, Acórdão de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.o 58 e jurisprudência referida).

35

Por conseguinte, a pessoa que pede uma indemnização ao abrigo desta disposição é obrigada a demonstrar não só a violação de disposições deste regulamento mas também que essa violação lhe causou tais danos (v., neste sentido, Acórdão de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.os 60 e 61 e jurisprudência referida).

36

Quanto a este ponto, importa salientar que o Tribunal de Justiça interpretou o artigo 82.o, n.o 1, do RGPD no sentido de que se opõe a uma regra ou prática nacional que subordina a indemnização de danos imateriais, na aceção desta disposição, à condição de os danos sofridos pelo titular dos dados atingirem um certo grau de gravidade, sublinhando que a pessoa referida está, no entanto, obrigada a demonstrar que a violação deste regulamento lhe causou esse dano imaterial (v., neste sentido, Acórdão de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.os 59 e 60 e jurisprudência referida).

37

Ainda que a disposição do RGPD que foi objeto de uma violação confira direitos às pessoas singulares, essa violação não pode, por si só, constituir um «dano imaterial», na aceção deste regulamento.

38

É certo que resulta do artigo 79.o, n.o 1, do RGPD que todos os titulares de dados têm direito à ação judicial contra o responsável pelo tratamento ou um eventual subcontratante, se considerarem ter «havido violação dos direitos que lhes assistem nos termos [desse] regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento».

39

Todavia, esta disposição limita‑se a conferir um direito de recurso à pessoa que se considera vítima de uma violação dos direitos que lhe são conferidos pelo RGPD, sem a dispensar da obrigação que lhe incumbe por força do artigo 82.o, n.o 1, deste regulamento, de provar que sofreu efetivamente um dano material ou imaterial.

40

Daqui resulta que a violação de disposições do RGPD que concedem direitos ao titular dos dados não basta, por si só, para fundamentar um direito substantivo a obter uma indemnização ao abrigo deste regulamento, que exige que os dois outros requisitos desse direito mencionados no n.o 34 do presente acórdão estejam também preenchidos.

41

No caso em apreço, o demandante no processo principal pretende obter, com base no RGPD, a indemnização de um dano imaterial, a saber, uma perda de controlo sobre os seus dados pessoais que foram objeto de tratamentos, apesar da sua oposição, sem estar sujeito à obrigação de provar que esse dano ultrapassou um certo limiar de gravidade.

42

A este respeito, importa salientar que o considerando 85 do RGPD menciona expressamente a «perda de controlo» entre os danos que podem ser causados por uma violação de dados pessoais. Além disso, o Tribunal de Justiça declarou que a perda de controlo desses dados, mesmo durante um curto período de tempo pode causar «danos imateriais», na aceção do artigo 82.o, n.o 1, deste regulamento, conferindo o direito a indemnização, desde que a pessoa em questão demonstre ter efetivamente sofrido esse dano, por mínimos que sejam (v., neste sentido, Acórdão de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.o 66 e jurisprudência referida).

43

Tendo em conta os fundamentos anteriores, há que responder à primeira questão que o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que uma violação de disposições deste regulamento que conferem direitos ao titular dos dados não basta, por si só, para constituir um «dano imaterial», na aceção desta disposição, independentemente do grau de gravidade do dano sofrido por esse titular.

44

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.o do RGPD deve ser interpretado no sentido de que, para ficar isento da sua responsabilidade ao abrigo do n.o 3 do referido artigo, basta ao responsável pelo tratamento invocar que o dano em causa foi provocado pela falha de uma pessoa que atua sob a sua autoridade, na aceção do artigo 29.o deste regulamento.

45

A este respeito, importa recordar que o artigo 82.o, n.o 2, do RGPD dispõe que qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole este regulamento e que o n.o 3 deste artigo prevê que o responsável pelo tratamento fica isento dessa responsabilidade, nos termos desse n.o 2, se provar que não é de modo nenhum responsável pelo evento que deu origem aos danos.

46

O Tribunal de Justiça já declarou que resulta de uma análise conjugada dos n.os 2 e 3 deste artigo 82.o que o mesmo prevê um regime de responsabilidade por culpa, no qual se presume que o responsável pelo tratamento participou no tratamento que constitui a violação do RGPD que é visada, pelo que o ónus da prova não recai sobre a pessoa que sofreu um dano, mas sobre o responsável pelo tratamento (v., neste sentido, Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.os 92 a 94).

47

Quanto à questão de saber se o responsável pelo tratamento pode ficar isento da sua responsabilidade, nos termos do artigo 82.o, n.o 3, do RGPD, pelo simples facto de esse dano ter sido causado pelo comportamento culposo de uma pessoa que atua sob a sua autoridade, na aceção do artigo 29.o deste regulamento, por um lado, resulta deste último artigo que as pessoas que atuam sob a autoridade do responsável pelo tratamento, como os seus trabalhadores, que têm acesso a dados pessoais, só podem, em princípio, tratar esses dados sob instruções do referido responsável e em conformidade com estas (v., neste sentido, Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.os 73 e 74).

48

Por outro lado, o artigo 32.o, n.o 4, do RGPD, relativo à segurança do tratamento de dados pessoais, prevê que o responsável pelo tratamento toma medidas para assegurar que qualquer pessoa singular que, agindo sob a sua autoridade e que tenha acesso a esses dados, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado‑Membro.

49

Ora, um trabalhador do responsável pelo tratamento é efetivamente uma pessoa singular que atua sob a autoridade desse responsável. Assim, cabe ao referido responsável assegurar‑se de que as suas instruções são corretamente aplicadas pelos seus trabalhadores. Por conseguinte, o responsável pelo tratamento não se pode eximir da sua responsabilidade nos termos do artigo 82.o, n.o 3, do RGPD, invocando apenas negligência ou incumprimento por parte de uma pessoa que atua sob a sua autoridade.

50

No caso em apreço, nas suas observações escritas apresentadas no Tribunal de Justiça, a juris sustenta, em substância, que o responsável pelo tratamento deve ser exonerado da sua responsabilidade, ao abrigo do artigo 82.o, n.o 3, do RGPD, quando a violação que causou o dano em causa for imputável ao comportamento de um dos seus trabalhadores que não respeitou as instruções emanadas do referido responsável e desde que essa violação não se deva a um incumprimento das obrigações deste último estabelecidas, em especial, nos artigos 24.o, 25.o e 32.o deste regulamento.

51

A este respeito, importa sublinhar que as circunstâncias da isenção prevista no artigo 82.o, n.o 3, do RGPD devem ser estritamente limitadas àquelas em que o responsável pelo tratamento pode comprovar a inexistência de imputabilidade do dano por sua própria iniciativa (v., neste sentido, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.o 70). Por conseguinte, em caso de violação de dados pessoais cometida por uma pessoa que atua sob a sua autoridade, o referido responsável só pode beneficiar desta isenção se provar que não existe um nexo de causalidade entre qualquer violação da sua obrigação de proteção dos dados, que lhe incumbe por força dos artigos 5.o, 24.o e 32.o deste regulamento, e o dano sofrido pela pessoa em causa (v., por analogia, Acórdão de 14 de dezembro de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, n.o 72).

52

Por conseguinte, para que o responsável pelo tratamento possa ficar isento da sua responsabilidade, nos termos do artigo 82.o, n.o 3, do RGPD, não é suficiente que este último demonstre que tenha dado instruções às pessoas que atuam sob a sua autoridade, na aceção do artigo 29.o deste regulamento, e que uma das referidas pessoas não tenha cumprido a sua obrigação de seguir essas instruções, contribuindo assim para a ocorrência do dano em causa.

53

Com efeito, se se admitisse que o responsável pelo tratamento se pode eximir da sua responsabilidade limitando‑se a invocar a falha de uma pessoa que atua sob a sua autoridade, isso prejudicaria o efeito útil do direito à indemnização consagrado no artigo 82.o, n.o 1, do RGPD, como salientou o órgão jurisdicional de reenvio em substância, o que não seria conforme com o objetivo deste regulamento, que consiste em assegurar um elevado nível de proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais.

54

Tendo em conta o exposto, há que responder à segunda questão que o artigo 82.o do RGPD deve ser interpretado no sentido de que não basta ao responsável pelo tratamento, para ficar isento da sua responsabilidade ao abrigo do n.o 3 do referido artigo, invocar que o dano em causa foi provocado pela falha de uma pessoa que atua sob a sua autoridade, na aceção do artigo 29.o deste regulamento.

55

Com a terceira e quarta questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título de reparação de danos com base nesta disposição, há que, por um lado, aplicar mutatis mutandis os critérios de fixação do montante das coimas, previstos no artigo 83.o deste regulamento e, por outro, ter em conta o facto de várias violações do referido regulamento relativas a uma mesma operação de tratamento afetarem a pessoa que pede reparação.

56

Em primeiro lugar, no que respeita a uma eventual tomada em consideração dos critérios enunciados no artigo 83.o do RGPD, para efeitos de avaliar o montante da indemnização devida nos termos do seu artigo 82.o, é pacífico que estas duas disposições prossigam objetivos diferentes. Com efeito, enquanto o artigo 83.o deste regulamento determina as «[c]ondições gerais para a aplicação de coimas», o artigo 82.o do referido regulamento regula o «[d]ireito de indemnização e [a] responsabilidade».

57

Daqui decorre que os critérios enunciados no artigo 83.o do RGPD para efeitos da determinação do montante das coimas, que são igualmente mencionados no considerando 148 deste regulamento, não podem ser utilizados para avaliar o montante das indemnizações, nos termos do seu artigo 82.o

58

Como o Tribunal de Justiça já salientou, o RGPD não contém nenhuma disposição relativa à avaliação das indemnizações devidas a título do direito a indemnização consagrado no artigo 82.o deste regulamento. Por conseguinte, os juízes nacionais devem, para efeitos dessa avaliação, aplicar, por força do princípio da autonomia processual, as normas internas de cada Estado‑Membro relativas ao alcance da reparação pecuniária, desde que sejam respeitados os princípios da equivalência e da efetividade do direito da União, como definidos pela jurisprudência constante do Tribunal de Justiça (v., neste sentido, Acórdãos de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.os 83 e 101 e jurisprudência referida, e de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.o 53).

59

Neste contexto, o Tribunal de Justiça sublinhou que o artigo 82.o do RGPD não reveste função punitiva, mas sim compensatória, contrariamente a outras disposições deste regulamento que também figuram no seu capítulo VIII, a saber, os seus artigos 83.o e 84.o, que, por seu turno, têm essencialmente finalidade punitiva, uma vez que permitem, respetivamente, aplicar coimas e outras sanções. A articulação entre as regras enunciadas no referido artigo 82.o e as enunciadas nos referidos artigos 83.o e 84.o demonstra que existe uma diferença entre estas duas categorias de disposições, mas também uma complementaridade, em termos de incentivo ao respeito pelo RGPD, observando‑se que o direito de qualquer pessoa a pedir a indemnização de um dano reforça o caráter operacional das regras de proteção previstas neste regulamento e é suscetível de desencorajar a repetição de comportamentos ilícitos (Acórdão de 25 de janeiro de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, n.o 47 e jurisprudência referida).

60

Por outro lado, o Tribunal de Justiça deduziu do facto de o direito a indemnização previsto no artigo 82.o, n.o 1, do RGPD não desempenhar uma função dissuasiva, ou mesmo punitiva, que a gravidade da violação deste regulamento que causou os danos materiais ou imateriais alegados não pode influenciar o montante da indemnização concedida ao abrigo desta disposição. Daqui resulta que esse montante não pode ser fixado num nível que exceda a compensação completa desse prejuízo (v., neste sentido, Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.o 86).

61

Tendo em consideração o considerando 146, sexto período, do RGPD, segundo o qual este instrumento visa assegurar que os titulares dos dados são «integral e efetivamente indemnizados pelos danos que tenham sofrido», o Tribunal de Justiça salientou que, tendo em conta a função compensatória do direito de indemnização previsto no artigo 82.o deste regulamento, uma indemnização pecuniária assente nesta disposição deve ser considerada «integral e efetiva», se permitir compensar integralmente o dano concretamente sofrido por violação deste regulamento, sem que seja necessário, para efeitos dessa compensação integral, impor o pagamento de uma indemnização de natureza punitiva (Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, n.o 84 e jurisprudência referida).

62

Assim, tendo em conta as diferenças de redação e de finalidades existentes entre o artigo 82.o do RGPD, lido à luz do seu considerando 146, e o artigo 83.o do referido regulamento, lido à luz do seu considerando 148, não se pode considerar que os critérios de avaliação enunciados especificamente neste artigo 83.o sejam aplicáveis mutatis mutandis no âmbito deste artigo 82.o, não obstante o facto de as vias de recurso previstas nestas duas disposições serem efetivamente complementares para assegurar o cumprimento do mesmo regulamento.

63

Em segundo lugar, no que respeita à forma como os juízes nacionais devem avaliar o montante de uma indemnização pecuniária, nos termos do artigo 82.o do RGPD, nos casos de violações múltiplas deste regulamento que afetem o mesmo interessado, importa, antes de mais, sublinhar que, como referido no n.o 58 do presente acórdão, cabe a cada Estado‑Membro fixar os critérios que permitem determinar o montante dessa indemnização, sem prejuízo do respeito dos princípios da efetividade e da equivalência do direito da União.

64

Em seguida, tendo em conta a função não punitiva mas compensatória do artigo 82.o do RGPD, recordada nos n.os 60 e 61 do presente acórdão, a circunstância de terem sido cometidas várias violações pelo responsável pelo tratamento, em relação a um mesmo titular dos dados, não pode constituir um critério pertinente para efeitos da avaliação da indemnização a atribuir a essa pessoa ao abrigo deste artigo 82.o Com efeito, só o prejuízo concretamente sofrido por esta deve ser tomado em consideração para fixar o montante da indemnização pecuniária devida a título de compensação.

65

Por conseguinte, há que responder à terceira e quarta questões que o artigo 82.o, n.o 1, do RGPD deve ser interpretado no sentido de que, para determinar o montante da indemnização devida a título de reparação de danos com base nesta disposição, não há que, por um lado, aplicar mutatis mutandis os critérios de fixação do montante das coimas previstas no artigo 83.o desse regulamento e, por outro, ter em conta o facto de várias violações do referido regulamento relativas a uma mesma operação de tratamento afetarem a pessoa que pede reparação.

66

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara: