Skip to main content
BlogPrivacidade Whistleblowing e Investigações

Nem a Comissão Europeia está livre de condenações por violação do RGPD

By 28 Janeiro, 2025Janeiro 30th, 2025No Comments

Em 8 de janeiro de 2025, o Tribunal de Justiça da União Europeia (TJUE) proferiu uma decisão histórica no caso Bindl vs. Comissão Europeia, condenando a Comissão Europeia por violação das regras de proteção de dados pessoais estabelecidas no Regulamento Geral sobre a Proteção de Dados (RGPD).

Este caso sublinha a importância da conformidade com as normas de proteção de dados, mesmo para as instituições da União Europeia e que a criação de formulários nas páginas web para registo poderão ter pequenas armadilhas que facilmente se podem revelar em incumprimentos por negligência.

Contexto do Caso

O caso teve início quando Martin Bindl, um cidadão residente na Alemanha, propôs em 09.06.2022 contra a Comissão Europeia uma ação judicial, alegando que a instituição tinha incumprido as regras europeias quanto à transferência internacional dos seus dados pessoais, resultando em acessos não autorizados aos seus dados pessoais.

Todo este processo se inicia com a inscrição do titular dos dados Martin Bindl para a Conferência “Go Green” através da página web da Comissão Europeia. Sucede que a inscrição poderia ser efetuada de duas formas: i) por via de formulário de inscrição online, fornecendo informações pessoais e detalhes sobre a sua participação no evento, ou ii) através de autenticação através de uma conta numa rede socia norte-americana.

Martin Bindl selecionou a opção de autenticação através da rede social, o que resultou na transferência de dados pessoais para a empresa norte americana detentora da rede social, o que foi uma das questões centrais no caso Bindl vs. Comissão Europeia. Ora, sendo a rede social uma entidade americana, sempre se trataria de uma transferência internacional de dados, obrigada a cumprir as regras estabelecidas no RGPD; a Comissão Europeia não assegurou, nomeadamente que a rede social nos Estados Unidos tinha níveis de proteção adequados para os dados pessoais.

Neste caso, os dados pessoais transmitidos incluíam o endereço IP e as informações associadas à conta do Facebook de Martin Bindl, como nome e possivelmente outros dados de perfil.

Ora, neste sentido, o TJUE considerou que:

  1. a Comissão Europeia não obteve o consentimento explícito do titular dos dados para a transferência dos seus dados pessoais para a empresa gestora da rede social;
  2. a Comissão não forneceu informações claras e acessíveis sobre como e por que os dados pessoais estavam sendo recolhidos e tratados, o que é uma exigência do RGPD para garantir a transparência no processamento de dados;
  3. Não foi realizada uma avaliação de impacto sobre a proteção de dados, necessária para identificar e mitigar riscos associados à transferência de dados pessoais;
  4. Não assegurou que a empresa dos Estados Unidos tinha níveis de proteção adequados para os dados pessoais, conforme exigido pelo RGPD; e
  5. Falhou na implementação de medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados e outras formas de processamento ilegal.

O TJUE determinou que a Comissão Europeia violou várias disposições do RGPD, incluindo os princípios de legalidade, equidade e transparência no processamento de dados pessoais. A decisão incluiu a imposição de uma coima significativa à Comissão Europeia como penalização pelas violações cometidas. O tribunal sublinhou que todas as entidades, incluindo as instituições da UE, devem cumprir rigorosamente o RGPD.

Impacto e Implicações

Esta decisão estabelece um precedente importante, reforçando que todas as entidades, incluindo as instituições da UE, devem cumprir rigorosamente o RGPD. A decisão também destaca a importância da proteção de dados pessoais e a necessidade de medidas robustas para prevenir violações. Além disso, a condenação da Comissão Europeia serve como um alerta para outras instituições e empresas sobre a importância de implementar medidas adequadas de proteção de dados.

Conclusão

O caso Bindl vs. Comissão Europeia é um marco na aplicação do RGPD, sublinhando a responsabilidade das instituições da União Europeia em proteger os dados pessoais dos cidadãos. A decisão do TJUE não só reforça a importância da conformidade com o RGPD, mas também serve como um lembrete de que a proteção de dados é uma prioridade fundamental na era digital.

 

Filipa Galvão @ DCM | Littler