(actualizado em Fev.2022)
***
O novo regulamento da UE nesta matéria, o GDPR, aplicável a partir dos 25 de Maio de 2018, embora concedendo direitos de acesso, de correcção e de apagamento dos seus dados pessoais em benefício da "pessoa em causa" (a pessoa afectada pelo tratamento dos seus dados pessoais) recorda a necessidade de recorrer a órgãos administrativos ou judiciais para obter sanções, proibições e indemnizações.
É então interessante investigar e ver o que pode realmente ser feito em caso de emergência, quando essa pessoa se considera como vítima de um processamento por um "controlador", ou seja, a entidade que processa os dados.
Não são aqui tratados os procedimentos tendentes a preservar provas, ou vias de execução utilizadas para implementar decisões judiciais ou apreender propriedades, nem alguns casos específicos relacionados, por exemplo, com processos relacionados com fins públicos, administrativos, de investigação ou jornalísticos, ou com a repressão da contrafacção de direitos de propriedade intelectual, com o tratamento de conteúdos sensíveis na Internet...)
De acordo com a lei francesa, cada vez mais órgãos administrativos estão habilitados a cobrar multas e a emitir injunções a fim de preservar os interesses da sociedade, juntamente com os procuradores tradicionais quando estão em jogo incriminações legais (e a que se refere o artigo 84 do GDPR).
É o caso da "autoridade de supervisão", a autoridade designada como tal pelo novo regulamento da UE relativo ao GDPR e que, em cada Estado-Membro e juntamente com os seus homólogos, intervém em caso de utilização inadequada de dados pessoais por um "responsável pelo tratamento", ou seja, uma pessoa que processa dados pessoais, ao abrigo deste regulamento.
A GDPR recorda a possibilidade do sujeito dos dados apresentar queixa a esta "autoridade de supervisão" (art.77) e precisa os poderes de injunção e de condenação a multas (art.58 e 83) desta autoridade, recordando ao mesmo tempo a necessidade de um queixoso se dirigir aos órgãos judiciais para procurar responsabilidades e reclamar indemnizações (art.79, art.82 ponto 6).
De qualquer forma, antes de pensar em procurar responsabilidades, o queixoso procurará, acima de tudo, parar a situação prejudicial, o mais rapidamente possível. Aqui ele pode hesitar com o comportamento a adoptar.
A GDPR recomenda que se sigam alguns passos amigáveis e, em última análise, que se recorra à referida autoridade de supervisão ou a outros órgãos administrativos ou judiciais.
Este processo pode parecer demasiado longo e o queixoso pode procurar uma resposta mais rápida em frente de jurisdições especializadas em procedimentos de emergência.
Vamos tentar comparar.
O circuito específico do GDPR :
O novo regulamento da UE chamado GDPR organiza um procedimento a fim de obter do "responsável pelo tratamento" (a pessoa responsável pelo tratamento dos dados) uma cessação do tratamento dos dados pessoais.
O seu artigo 12 estabelece que :
"3 O responsável pelo tratamento deve fornecer informações sobre o seguimento dado a um pedido feito nos termos dos artigos 15º a 22º à pessoa em causa, sem demora indevida e, em qualquer caso, no prazo de um mês após a recepção do pedido. Esse prazo pode ser prorrogado por mais dois meses, se necessário, tendo em conta a complexidade e o número dos pedidos. O responsável pelo tratamento deve informar a pessoa em causa de tal prorrogação no prazo de um mês a contar da recepção do pedido, juntamente com as razões do atraso. Se a pessoa interessada fizer o pedido por meios electrónicos, a informação deve ser fornecida por meios electrónicos sempre que possível, salvo pedido em contrário da pessoa interessada".
"4. Se o responsável pelo tratamento não der seguimento ao pedido da pessoa em causa, deve informar a pessoa em causa sem demora e o mais tardar no prazo de um mês a contar da recepção do pedido dos motivos da não tomada de medidas e da possibilidade de apresentar uma reclamação junto de uma autoridade de controlo e de procurar um recurso judicial.
No entanto, o controlador é incitado a agir rapidamente e pode assumir a sua responsabilidade a este respeito;
O artigo 17 menciona a capacidade do queixoso (o "sujeito dos dados") de obter, do responsável pelo tratamento, o apagamento de dados por determinados motivos, "sem demora injustificada".
O artigo 18 combinado com o artigo 21 menciona a possibilidade de o requerente obter, do responsável pelo tratamento, e por certos motivos, como paliativo, uma restrição ao tratamento de dados (os dados são como postos de lado, escondidos, mas mantidos "sob o cotovelo" do responsável pelo tratamento), especialmente quando há uma discussão sobre os fundamentos legítimos do tratamento, e enquanto se aguarda a verificação se os fundamentos legítimos do responsável pelo tratamento se sobrepõem aos da pessoa em causa.
De facto, um responsável pelo tratamento será tentado a invocar sistematicamente "interesses legítimos" para justificar o tratamento, em todos os casos "cinzentos" em que não tenha claramente direito a tratar dados, e quando os dados são tratados para fins de marketing ou para fins vizinhos.
A propósito, sobre este assunto, o artigo 21 prevê, em benefício da pessoa em causa, por certos motivos e especialmente quando é feito para fins de marketing directo, um direito de oposição ao tratamento dos seus dados pessoais, e que o "responsável pelo tratamento não processará mais..." e : "Se a pessoa em causa se opuser ao tratamento para fins de marketing directo, os dados pessoais já não serão tratados para tais fins".
Assim, a GDPR organiza uma fase administrativa preliminar de um a três meses, durante a qual o responsável pelo tratamento não pode dar uma resposta nem satisfazer a exigência formulada pela pessoa em causa, sem apresentar quaisquer razões específicas, comprometendo-se, no entanto, a sua responsabilidade se uma resistência abusiva puder ser demonstrada por um queixoso motivado perante um tribunal civil ou criminal, ou mesmo perante a autoridade de controlo.
Isto pode parecer um pouco insatisfatório e incerto para o queixoso.
A via judicial e os procedimentos de emergência :
Nos termos da lei francesa, as injunções preliminares e os danos podem ser obtidos através de procedimentos de emergência, a fim de parar situações danosas.
São tomadas em risco do queixoso e numa base provisória, o que significa que um tribunal que apreende o mérito do caso poderá sempre reformar a decisão tomada num contexto de emergência e condenar o queixoso por abuso (contudo, existem "procedimentos mistos" (reformas de 2021 & 2022).
O "code de procédure civile" francês (principalmente o artigo 808 do code de procédure civile) exige que a medida solicitada pelo requerente a este respeito não seja seriamente questionável, ou seja, na medida em que o caso pareça usual e óbvio e que haja urgência em tomar as medidas solicitadas, e que estas medidas sejam praticáveis.
Sobre este assunto, por exemplo, o facto de a parte adversa já ter emitido sérias objecções quando as partes já iniciaram discussões sobre o seu ponto litigioso é uma indicação de que podem existir sérias objecções. Uma parte que tentaria então pôr um ponto final nas discussões e forçar a satisfação das suas exigências, iniciando um procedimento de emergência, correria então o risco de ser rejeitada.
Contudo, mesmo no caso em que a medida solicitada é questionável, um procedimento de emergência permanece disponível no caso em que um dano iminente deve ser evitado ou uma "manifestação de problemas ilícitos" (desordem manifestamente ilícita, por exemplo, uma infracção penal facilmente qualificável como tal) deve ser impedida, todas as noções que sugerem que uma urgência está implícita (art.809 do Código de Processo Civil).
No entanto, a demonstração de uma desordem manifesta pode ser difícil de fazer, especialmente sem investigações ou discussões preliminares.
No que respeita ao tratamento de dados, a utilização inadequada de dados pessoais (incluindo dados profissionais, cf. jurisprudência da UE e francesa sobre o assunto) é incriminada pelo artigo 226-16 e seguintes do "código pénal" e punida com prisão e multa, e depois revelada, como uma "manifestação de problemas ilícitos", permitindo iniciar um procedimento de emergência para exigir a retirada do conteúdo litigioso, e mesmo que a culpabilidade ainda não tenha sido definitivamente julgada.
A lei "Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique" ("lei para a confiança na economia digital") disse também "LCEN", confirma que um procedimento de emergência também pode ser iniciado contra um intermediário técnico (plataformas baseadas na internet, motores de busca, provedores de internet...), mesmo que não seja o infrator original:
Artigo 6.I.8 "A autoridade judicial pode prescrever, em procedimentos sumários ou a pedido, a qualquer pessoa mencionada no ponto 2 ou, na sua falta, a qualquer pessoa mencionada no ponto 1, quaisquer medidas susceptíveis de prevenir danos ou de impedir danos causados pelo conteúdo de um serviço de comunicação pública online.
A autoridade judicial pode prescrever, "en référé ou sur requête", a qualquer pessoa mencionada em 2 [plataformas, motores de busca...] ou, na sua falta, a qualquer pessoa mencionada em 1 [provedores de internet], quaisquer medidas susceptíveis de prevenir danos ou de impedir um dano causado pelo conteúdo de um serviço público de comunicação online.
(este texto mudou, desde então, ampliando as possibilidades judiciais - 17 fev.2022)
A necessidade ou não de enviar uma notificação formal prévia antes de iniciar um procedimento de emergência judicial :
É necessária uma notificação formal prévia para avisar o adversário antes de iniciar um procedimento de emergência judicial?
Em regra sim, mas uma notificação formal prévia não é obviamente recomendada em caso de emergência real ou de problemas reais para a ordem pública (por exemplo: um delito criminal).
Sobre este assunto, o Art. 56 parágrafo 3 do Código de Processo Civil estabelece que (atenção: reformas) :
"A menos que haja uma razão legítima relacionada com a urgência ou com o assunto em questão, em particular quando se trata de ordem pública, a convocação deve também especificar as medidas tomadas para chegar a uma resolução amigável do litígio.
Tradução gratuita : "A menos que haja uma justificação relacionada com a urgência ou com o assunto em questão, em particular quando se trata de ordem pública, a citação também especifica as medidas tomadas para chegar a uma solução amigável do litígio.
Mesmo que o uso inadequado de dados pessoais possa constituir a base de um delito criminal, o senso comum exigirá a maior parte do tempo que seja feita uma notificação formal prévia e especialmente considerando que o GDPR exige essa notificação prévia.
Quando uma exigência diz respeito a questões como a reparação de perdas e reclamações pecuniárias que não implicam uma urgência, uma notificação formal prévia teria de ser dirigida ao adversário, detalhando o montante reclamado.
Do mesmo modo, a referida lei "Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique" ("lei para a confiança na economia digital"), também diz "LCEN", prevê, nos seus artigos 6.I.2, 6.I.3 e 6.I.5 que a responsabilidade do intermediário técnico não pode ser contratada a menos que se prove que, devidamente notificado (e de uma certa forma e com certas precauções) não retirou o conteúdo litigioso.
Assim, em caso de emergência, o encaminhamento para o órgão judicial especializado é um gage de rapidez, enquanto que o encaminhamento, através das vias habituais, para uma jurisdição criminal ou civil (ou mesmo uma jurisdição administrativa) ou para um órgão administrativo, tal como a "autoridade de supervisão" sob a GDPR, pode implicar longas investigações ou discussões preliminares antes que as injunções sejam tomadas ou que sejam concedidas indemnizações.
A autoridade de supervisão tem poderes de injunção e de condenação a pesadas multas (art.83 parag.5, b), mas, agindo como um procurador que defende em primeiro lugar os interesses da sociedade, pode estar relutante em agir rapidamente com base na mera reivindicação de um indivíduo e mais interessado em proceder a inquéritos que levam tempo.
A vantagem de um encaminhamento para a autoridade de supervisão é que ela pode intervir a nível da UE, por vezes em caso de emergência, com a cooperação de outras autoridades de supervisão nacionais. Pelo contrário, o encaminhamento para os tribunais civis ou penais nacionais pode ser ilusório para obter injunções e sanções nos casos em que estejam implícitos aspectos estrangeiros (é um processo vertical / e não um processo horizontal entre partes).
As jurisdições penais intervêm principalmente para julgar a responsabilidade criminal e para emitir condenações penais (principalmente prisão, multas, injunções acessórias e indemnizações), após investigações exaustivas.
As jurisdições civis, no quadro dos procedimentos normais, intervêm principalmente para julgar responsabilidades civis, para conceder indemnizações e para emitir injunções, após uma discussão exaustiva e contraditória.
No COMPARISON o procedimento de emergência judicial pode parecer mais eficiente para solicitar, pelo menos a nível nacional, uma cessação imediata do processamento - e alternativamente, PELO MENOS, uma restrição imediata do referido processamento sem ter de esperar pelo fim de um julgamento sobre o mérito, quando o controlador é susceptível de adoptar uma resistência e uma vontade de demonstrar a legitimidade do seu processamento.
Como já foi referido, esta possibilidade de "restrição" está prevista no artigo 18º do GDPR e é, aliás, uma das principais contribuições do GDPR em comparação com a anterior directiva comunitária 95/46/CE e com a actual lei francesa relativa aos dados pessoais "loi informatique et liberté n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés".
15 de Maio de 2018
Portuguese 
French 
English 
German 
Spanish 
Italian