E se fosse em Portugal? – Ação popular, RGPD e legislação nacional

Recentemente, o jornalista britânico Martin Bryant divulgou no seu blog que tinha intentado, contra um grupo hoteleiro internacional, uma ação popular (“Class Action”) no High Court of England and Wales em representação de sete milhões de hóspedes residentes em Inglaterra e no País de Gales. Em causa estava o intuito de obter uma indemnização pela perda de controlo dos dados pessoais sofrida em consequência de um “data breach”, ocorrido entre 2014 e 2018, através do qual alegadamente houve um acesso não autorizado à base de dados de reservas do grupo hoteleiro, da qual constavam, entre outros, números de passaporte, datas de nascimento e possivelmente dados de cartões de crédito.

Esta ação popular foi intentada com base em opt out, ou seja, todos os hóspedes residentes em Inglaterra e no País de Gales que fizeram reservas nos hotéis do referido grupo até setembro de 2018 foram incluídos automaticamente como autores, a menos que tivessem optado por se autoexcluir.

Também dois dos gigantes tecnológicos norte-americanos foram alvo de uma ação popular apresentada nos Países Baixos, dia 14 de agosto, pela The Privacy Collective, uma associação sem fins lucrativos, pelo alegado uso indevido de dados pessoais através dos cookies de terceiros ‘Bluekai’ e ‘Krux’, com o objetivo de obter uma indemnização pelos danos sofridos. Esta foi a maior ação popular intentada no referido país, estimando a demandante, com base no número previsto de utilizadores afetados, que a extensão total dos danos poderá exceder dez mil milhões de euros.

Ora e se fosse em Portugal?

O Regulamento Geral de Proteção de Dados (RGPD) remete para o legislador nacional a decisão no que respeita à forma de representação processual (se é ou não necessário mandato) e à amplitude da mesma (nomeadamente se inclui ou não o direito de pedir indemnização) no âmbito dos mecanismos de tutela coletiva dos direitos dos titulares.

Embora a lei de execução do RGPD (Lei n.º 58/2019, de 8 de agosto) apenas consagre a possibilidade de os titulares dos dados mandatarem uma entidade para o efeito, o ordenamento jurídico português já previa especificamente o opting out no âmbito da ação popular.

De facto, estabelece a Lei da Ação Popular (Lei n.º 83/95, de 31 de agosto) (LAP) quanto à representação processual, que “nos processos de ação popular, o autor representa por iniciativa própria, com dispensa de mandato ou autorização expressa, todos os demais titulares dos direitos ou interesses em causa que não tenham exercido o direito de autoexclusão previsto no artigo seguinte, com as consequências constantes da presente lei”.

Ora, de acordo com o Supremo Tribunal de Justiça, poderão ser tutelados pela ação popular os interesses individuais homogéneos (os que se polarizam em aglomerados identificados de titulares paralelamente justapostos), o que nos parece ser o caso do tratamento ilegal de dados pessoais resultante de um data breach por exemplo.

Relativamente ao direito à indemnização aos lesados, a LAP prevê a responsabilidade pelos danos causados pela violação dolosa ou culposa dos interesses protegidos.

Desta forma, a resposta à questão colocada é que, não havendo doutrina e jurisprudência em contrário, é possível que em Portugal seja deferida uma ação popular, em representação de titulares de dados pessoais que tenham sofrido danos (tendo interesses individuais homogéneos), nos termos da LAP, sem necessidade de qualquer mandato ou adesão.

Do que nos foi dado observar no passado mês de agosto, as class actions estão a começar a proliferar na Europa (em especial nos países que adotaram o opt out), e poderão ter terreno fértil em Portugal. Será uma questão de tempo até que o sistema judicial português se veja a braços com uma ação coletiva e será conveniente que as empresas estejam preparadas quando tal acontecer.

Caberá às empresas (responsáveis pelo tratamento e subcontratantes) delinear uma estratégia adequada de prélitigância, que vai desde o cumprimento do princípio da accountability tendo em vista uma possível ação popular, ao controlo da informação disponibilizada à entidade de supervisão e à mitigação de riscos através da gestão da comunicação de um data breach aos titulares afetados, podendo mesmo ser pertinente repensar o pagamento voluntário de coimas de montante reduzido em vista das implicações de tal ato no que toca à assunção da culpa.