Responsabilidade civil no RGPD: Análise do acórdão C-507/23 pelo TJUE

1. Introdução

O acórdão proferido pelo TJUE - Tribunal de Justiça da União Europeia no processo C-507/23, em 4/10/24, representa um marco relevante para a compreensão da responsabilidade civil no âmbito do RGPD - Regulamento Geral de Proteção de Dados. A decisão enfrenta de modo direto três controvérsias fundamentais: a) se a mera violação das normas do regulamento seria suficiente para ensejar, por si só, o direito à indenização; b) se medidas não pecuniárias, como pedidos formais de desculpas, poderiam ser reconhecidas como formas válidas de reparação; e c) se critérios subjetivos da conduta do responsável pelo tratamento de dados - como boa-fé, intenção legítima ou busca do interesse público - seriam relevantes na quantificação do valor indenizatório.

A análise do TJUE foi realizada à luz do art. 82º do RGPD e dos princípios estruturantes do direito europeu de proteção de dados, estabelecendo que o regime de responsabilidade civil tem natureza eminentemente compensatória, exigindo a comprovação de um dano concreto, material ou imaterial, e afastando tanto a responsabilidade objetiva automática quanto a possibilidade de indenizações punitivas. Ao mesmo tempo, a decisão reconheceu a importância de medidas reparatórias não pecuniárias, consolidando uma perspectiva de tutela que valoriza também a dimensão simbólica e relacional da proteção de dados.

Essa construção jurisprudencial dialoga diretamente com a fundamentação teórica proposta por Orla Lynskey em The Foundations of EU Data Protection Law, obra em que a autora descreve o direito europeu de proteção de dados como um instituto de natureza híbrida: simultaneamente, um direito fundamental autônomo e um mecanismo de regulação econômica voltado a equilibrar relações assimétricas de poder em uma sociedade intensamente orientada por dados. Assim, a análise do acórdão C-507/23 não se limita à interpretação técnica do art. 82º, mas revela uma dimensão mais ampla, conectada à governança democrática da informação, à proteção da dignidade humana e à segurança jurídica no espaço europeu.

2. A responsabilidade civil por tratamento ilícito de dados pessoais

O acórdão C-507/23 do TJUE - Tribunal de Justiça da União Europeia, proferido em 4/10/24, representa um marco fundamental para a interpretação do art. 82º do RGPD - Regulamento Geral de Proteção de Dados, especialmente no que diz respeito à responsabilidade civil por tratamento ilícito de dados pessoais. A decisão enfrentou de forma direta três pontos de elevada controvérsia jurídica: (i) se a mera violação de normas do RGPD seria suficiente para ensejar, automaticamente, o direito à indenização; (ii) se medidas não pecuniárias poderiam ser admitidas como forma de reparação; e (iii) se elementos subjetivos da conduta do responsável pelo tratamento, como a intenção, a boa-fé ou a busca de fins de interesse público, deveriam ser considerados na fixação do montante indenizatório. A densidade desses questionamentos reflete não apenas as dificuldades interpretativas do art. 82º, mas também os desafios estruturais da proteção de dados no contexto de uma sociedade marcada pela centralidade da informação e pela assimetria de poder entre titulares de dados e entidades responsáveis pelo seu tratamento.

No tocante à primeira questão, o TJUE rejeitou a possibilidade de uma responsabilidade objetiva pura. O Tribunal deixou claro que o art. 82º do RGPD exige a comprovação de um dano concreto e efetivo, seja de natureza patrimonial ou não patrimonial, para que se configure o dever de reparação. Assim, afastou-se a ideia de que a mera infração normativa bastaria para ensejar o direito à indenização, estabelecendo-se a necessidade de demonstração do nexo causal entre a violação e o prejuízo alegado pelo titular dos dados.

Esse posicionamento preserva a coerência interna do sistema jurídico europeu, evitando que a responsabilidade civil se converta em um mecanismo de punição automática e desproporcional. A função essencial da responsabilidade no RGPD é compensatória e não sancionatória, cabendo à esfera administrativa e penal a função de punir ou dissuadir condutas ilícitas. Nesse sentido, o TJUE seguiu a linha da jurisprudência já consolidada em casos anteriores, como Google Spain (C-131/12), que reconheceu o direito ao apagamento de dados ("direito ao esquecimento"), mas sem descolar a tutela dos direitos fundamentais da exigência de critérios objetivos de responsabilidade.

Do ponto de vista normativo, a decisão encontra amparo no próprio texto do RGPD. O art. 82º, 1, dispõe que "qualquer pessoa que tenha sofrido danos materiais ou imateriais em consequência de uma violação do presente regulamento tem direito a receber do responsável pelo tratamento ou do subcontratante uma indenização pelos danos sofridos". Ao empregar a expressão "em consequência de uma violação", o regulamento deixa implícita a exigência do nexo causal entre o ato ilícito e o prejuízo experimentado pelo titular. Esse entendimento também é reforçado pelo considerando 146, que enfatiza que o responsável deve reparar qualquer dano causado por um tratamento que viole o regulamento, desde que tal dano seja comprovado.

Do ponto de vista teórico, essa interpretação evita a banalização da responsabilidade civil. Se a mera infração normativa bastasse para ensejar indenização, o RGPD seria convertido em um regime de responsabilidade objetiva absoluta, incompatível com a função compensatória do instituto. Como observa Lynskey, a proteção de dados deve ser entendida como um direito híbrido: de um lado, um direito fundamental autônomo; de outro, um mecanismo de regulação econômica que deve ser aplicado de modo equilibrado, garantindo tanto a efetividade da tutela quanto a previsibilidade regulatória. Ao exigir a comprovação de dano concreto, o TJUE preserva esse equilíbrio, assegurando que a proteção de dados seja robusta, mas não arbitrária.

Essa posição também encontra respaldo em experiências comparadas. No Brasil, por exemplo, a LGPD - Lei Geral de Proteção de Dados (lei 13.709/18) estabelece em seu art. 42 que o controlador ou operador que, em razão do exercício de atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, a outrem, é obrigado a repará-lo. O dispositivo, tal como o art. 82º do RGPD, pressupõe a comprovação de dano, não admitindo responsabilidade automática pela simples violação normativa. O mesmo ocorre nos Estados Unidos, onde a legislação setorial - como o HIPAA para dados de saúde ou o CCPA na Califórnia - também exige demonstração de prejuízo efetivo para a configuração de responsabilidade civil. Assim, o TJUE se insere em uma tendência internacional de afastar a responsabilidade objetiva absoluta no campo da proteção de dados.

A segunda questão enfrentada pelo TJUE refere-se à possibilidade de reparações não pecuniárias, como a apresentação de um pedido formal de desculpas, serem reconhecidas como formas válidas de compensação. O Tribunal entendeu que tais medidas são admissíveis, desde que proporcionais ao dano sofrido e eficazes na restauração da dignidade do titular.

Esse entendimento representa uma inovação significativa, pois amplia o leque de medidas reparatórias disponíveis e reconhece que nem todo dano pode ser adequadamente compensado por indenizações pecuniárias. Muitas vezes, a violação do direito à proteção de dados produz consequências imateriais, de difícil quantificação econômica, mas que afetam de modo profundo a esfera moral e relacional do indivíduo. Nesses casos, um pedido de desculpas público pode ter efeito simbólico e restaurativo, mitigando a ofensa sofrida e reafirmando a importância do direito fundamental violado.

A valorização de medidas não pecuniárias aproxima a lógica do RGPD de uma perspectiva de justiça restaurativa. Mais do que reparar financeiramente, busca-se reconstruir relações de confiança entre titulares e responsáveis pelo tratamento. Essa visão amplia a compreensão da função compensatória da responsabilidade civil, aproximando-a de uma tutela relacional, que reconhece a centralidade da dignidade da pessoa humana. Nesse ponto, a decisão dialoga diretamente com a construção teórica de Lynskey, que defende que a proteção de dados deve ser vista não apenas como defesa da privacidade, mas como governança democrática da informação, garantindo que os indivíduos não sejam reduzidos a meros objetos do processamento algorítmico.

Essa dimensão também encontra respaldo na Carta dos Direitos Fundamentais da União Europeia, cujo art. 8º consagra o direito fundamental à proteção de dados pessoais. A proteção de um direito dessa magnitude não pode ser reduzida a uma lógica meramente pecuniária; exige mecanismos de reparação que restaurem a confiança do indivíduo na ordem jurídica e reafirmem sua autodeterminação informacional. Nesse sentido, a decisão do TJUE fortalece o princípio da efetividade, ao admitir que reparações simbólicas, quando adequadas, são suficientes para assegurar a tutela efetiva do direito violado.

A comparação com outros sistemas reforça a relevância da inovação. No Direito brasileiro, a jurisprudência reconhece, em alguns casos, que o pedido de desculpas ou a retratação pública pode ser considerado forma válida de reparação moral, especialmente em litígios relacionados à honra e à imagem. Da mesma forma, nos Estados Unidos, acordos judiciais em casos de violações de dados frequentemente incluem obrigações de divulgação pública, notificações formais e compromissos de não repetição, que funcionam como reparações não pecuniárias de natureza simbólica. O TJUE, ao acolher essa possibilidade, insere a proteção de dados pessoais em um contexto mais amplo de tutela de direitos fundamentais, reconhecendo a importância das medidas simbólicas na recomposição da confiança social.

A terceira questão decidida pelo TJUE diz respeito à relevância de elementos subjetivos da conduta do responsável pelo tratamento na fixação do valor indenizatório. O Tribunal foi categórico ao afirmar que tais elementos são irrelevantes. O cálculo da compensação deve ater-se exclusivamente ao dano sofrido pela vítima, afastando qualquer função punitiva da indenização.

Assim, ainda que o responsável tenha agido de boa-fé ou perseguindo objetivos legítimos, como a defesa do interesse público, tais circunstâncias não reduzem o dever de reparar. Do mesmo modo, uma conduta dolosa ou intencionalmente abusiva não autoriza a majoração do valor indenizatório além do necessário para compensar o dano efetivamente suportado. A decisão reafirma, portanto, que a responsabilidade civil no âmbito do RGPD tem natureza exclusivamente compensatória.

Essa posição preserva a segurança jurídica e evita a introdução de critérios subjetivos que poderiam fragilizar a previsibilidade do sistema. Se a indenização variasse de acordo com a intenção ou a motivação do responsável, a aplicação do art. 82º estaria sujeita a uma ampla margem de discricionariedade judicial, o que poderia gerar incertezas para os agentes econômicos e comprometer a coerência do regime europeu de proteção de dados. Além disso, a função punitiva já está devidamente contemplada em outras esferas: o art. 83º do RGPD prevê sanções administrativas severas, que podem alcançar até 20 milhões de euros ou 4% do faturamento global da empresa, justamente para dissuadir condutas ilícitas. Assim, não há espaço para que a responsabilidade civil desempenhe essa função.

Do ponto de vista teórico, a exclusão de critérios subjetivos reforça a tese de Lynskey sobre a necessidade de neutralidade e previsibilidade regulatória. Ao afastar considerações sobre intenção ou boa-fé, o TJUE assegura que o regime de responsabilidade civil seja aplicado de maneira objetiva e uniforme, evitando distorções que poderiam comprometer sua efetividade. Essa neutralidade é essencial em um ambiente regulatório marcado por intensas assimetrias de poder e pela complexidade tecnológica do tratamento de dados.

O conjunto das três questões decididas no acórdão C-507/23 permite vislumbrar a consolidação de um modelo europeu de responsabilidade civil em matéria de proteção de dados. Esse modelo se caracteriza por quatro elementos centrais: (i) a exigência de comprovação de dano concreto, afastando a responsabilidade automática; (ii) a admissão de reparações não pecuniárias, valorizando a dimensão simbólica e relacional da tutela; (iii) a exclusão de critérios subjetivos da conduta, preservando a objetividade e a previsibilidade; e (iv) a reafirmação da função estritamente compensatória da responsabilidade civil, em contraste com as funções punitivas próprias da esfera administrativa.

Esse modelo é coerente com a natureza híbrida da proteção de dados, conforme descrita por Lynskey. De um lado, assegura a efetividade do direito fundamental à proteção de dados, por meio de mecanismos robustos de reparação. De outro, garante a estabilidade regulatória necessária para o funcionamento do mercado de dados, evitando que a responsabilidade civil seja convertida em instrumento de punição arbitrária. Trata-se, portanto, de um equilíbrio entre proteção individual e previsibilidade sistêmica, entre tutela da dignidade humana e segurança jurídica para os agentes econômicos.

A maturidade desse modelo também se revela no diálogo com experiências comparadas. Enquanto os Estados Unidos tendem a adotar uma abordagem fragmentada, baseada em legislações setoriais, e o Brasil consolida um modelo inspirado no RGPD, mas ainda em construção jurisprudencial, a União Europeia se projeta como referência global, oferecendo um regime normativo e jurisprudencial coeso, capaz de influenciar práticas internacionais e de afirmar a centralidade da dignidade humana na governança informacional.

3. Conclusão

O julgamento do processo C-507/23 pelo Tribunal de Justiça da União Europeia consolidou parâmetros essenciais para a aplicação do art. 82º do RGPD, reafirmando a necessidade de comprovação de dano concreto para o reconhecimento do direito à indenização, admitindo a validade de reparações não pecuniárias e afastando a influência de critérios subjetivos da conduta do responsável no cálculo da compensação. Esse entendimento reforça o caráter compensatório, e não sancionatório, da responsabilidade civil em matéria de proteção de dados pessoais, evitando que o instituto seja desvirtuado em mecanismo de punição automática e preservando a segurança jurídica dos agentes econômicos.

Ao mesmo tempo, o acórdão fortalece os direitos dos titulares de dados, ao reconhecer a importância da efetividade da reparação e ao legitimar medidas simbólicas de compensação, ampliando a tutela do dano imaterial e reafirmando a centralidade do direito fundamental à proteção de dados. Nesse sentido, a decisão harmoniza-se com a concepção teórica de Orla Lynskey, segundo a qual a proteção de dados na União Europeia deve ser compreendida como um direito híbrido, que desempenha papel estrutural na preservação da dignidade humana e no equilíbrio democrático das relações informacionais.

Em síntese, o acórdão C-507/23 contribui para a maturidade do sistema europeu de responsabilidade civil em matéria de proteção de dados, ao equilibrar de forma cuidadosa os interesses individuais e coletivos envolvidos: de um lado, assegura aos titulares uma reparação eficaz e proporcional; de outro, garante previsibilidade e estabilidade às entidades responsáveis pelo tratamento de dados. O resultado é um modelo normativo e jurisprudencial que reforça a governança justa da informação, em consonância com os valores fundacionais do direito europeu de proteção de dados e com sua dupla dimensão - de direito fundamental e de instrumento regulatório.

_____________________

UNIÃO EUROPEIA. Tribunal de Justiça (Oitava Secção). Acórdão no processo C-507/23, de 4 de outubro de 2024. Pedido de decisão prejudicial apresentado pelo Augstaka tiesa (Senats) - Letónia - A/Pateretaju tiesibu aizsardzibas centrs. Luxemburgo: Tribunal de Justiça da União Europeia, 2024. Disponível em: https://curia.europa.eu/juris/document/document.jsf?text=&docid=292575&pageIndex=0&doclang=PT&mode=lst&dir=&occ=first&part=1&cid=5483878. Acesso em 25 jun 2025.

LYNSKEY, ORLA. The foundations of EU data protection law. 1. ed. Oxford: Oxford University Press, 2015.