O Tribunal de Justiça da União Europeia (doravante, «TJUE») publicou no passado dia 7 de dezembro de 2023 dois acórdãos: (i) no processo C-634/21 (SCHUFA Holding) e (ii) nos apensos C-26/22 e C-64/22 (SCHUFA Holding).
Estas decisões foram tomadas na sequência de pedidos interpostos por vários cidadãos junto do Tribunal Administrativo de Wiesbaden, na Alemanha, tendo por base a recusa do Comissário para a Proteção de Dados competente[1] em tomar ações concretas contra atividades levadas a cabo pela SCHUFA Holding AG (doravante, «SCHUFA»).
A SCHUFA é uma sociedade privada de direito alemão que fornece aos seus parceiros contratuais informações sobre crédito e solvabilidade.
Esta entidade faz um juízo sobre a probabilidade de um comportamento futuro de determinada pessoa singular/coletiva («score») - como o pagamento/pontual cumprimento de um empréstimo -, com base num perfil comparativo assente em critérios matemáticos e estatísticos. A determinação dos scores ou «scoring» assenta no pressuposto de que a classificação de uma pessoa numa determinada categoria com características idênticas permite prever comportamentos futuros.
A SCHUFA conserva ainda informações comerciais provenientes de registos públicos por um período de 3 (três) anos, em conformidade com o código de conduta elaborado, na Alemanha, pela associação das sociedades que fornecem informações comerciais, prazo aprovado pela autoridade de controlo competente, mas divergente do prazo de 6 (seis) meses previsto pela lei federal alemã.
Os pedidos de decisão prejudicial junto do TJUE tiveram assim por fundamento, por um lado, (i) a atividade de «scoring» levada a cabo pela SCHUFA e, por outro, (ii) a oposição aos prazos de conservação dos registos de dívida remanescente pela mesma entidade (como, por exemplo, os registos públicos de insolvências).
A primeira decisão, no processo C-634/21, teve por objeto a interpretação do artigo 6.o, n.o 1, e do artigo 22.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ou Regulamento Geral sobre a Proteção de Dados (doravante, «RGPD») e foi apresentada na sequência de um litígio entre cidadãos impactados pela atividade da SCHUFA e o estado federado de Hesse, a respeito da recusa pelo «Comissário para a Proteção de Dados e a Liberdade de Informação» desse Estado em ordenar à SCHUFA que deferisse um pedido apresentado por esses cidadãos destinado a aceder e a apagar dados pessoais que lhes dizem respeito.
Chamado a pronunciar-se sobre a questão de fundo, o TJUE entendeu que o «scoring» levado a cabo pela SCHUFA deverá ser considerado uma «decisão individual automatizada», em princípio proibida pelo RGPD, quando os clientes da SCHUFA, como os bancos, lhe atribuam um papel determinante para efeitos de concessão de crédito.
O segundo acórdão, proferido no âmbito dos apensos C-26/22 e C-64/22 (SCHUFA Holding), tem por objeto a interpretação dos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia, bem como do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do artigo 17.o, n.o 1, alínea d), do artigo 40.o, do artigo 77.o, n.o 1, e do artigo 78.o, n.o 1, do RGPD, e teve por base dois litígios entre duas entidades e o estado federado de Hesse, a respeito da recusa do «Comissário para a Proteção de Dados e a Liberdade de Informação» desse Estado em ordenar à SCHUFA que procedesse ao apagamento de dados por esta conservados relativos à remissão da dívida remanescente a favor de tais entidades.
Neste caso, o TJUE considerou contrário ao RGPD que as agências privadas como a SCHUFA conservassem dados por um período mais alargado ao do registo público de insolvências previsto na lei alemã. A razão de ciência deste juízo assenta no pressuposto de que a informação relativa à «libertação de dívida remanescente» tem por objetivo permitir à entidade visada participar novamente na vida económica, donde é, por natureza, informação que reveste crucial importância para os visados - uma vez que pode resultar num juízo negativo sobre a solvabilidade de determinada entidade.
No caso em apreço, tendo em conta o prazo previsto pelo legislador alemão, o TJUE considerou, portanto, que, expirado tal prazo, os direitos e os interesses do titular dos dados prevalecem sobre os demais interesses envolvidos na obtenção de tal informação.
O TJUE entendeu que a conservação da informação por mais de seis meses é ilícita e, por conseguinte, o titular dos dados tem direito a que esses dados sejam apagados, estando a SCHUFA obrigada a apagá-los sem demora injustificada.
Caberá agora ao Tribunal Administrativo de Wiesbaden ponderar os interesses em causa para efeitos da apreciação da licitude da conservação da informação e avaliar se a lei federal alemã relativa à proteção de dados contém, em conformidade com o RGPD, uma exceção válida a esta proibição. Se assim for, o Tribunal Administrativo deverá ainda verificar se estão preenchidas as condições gerais previstas no RGPD para o tratamento de dados. Em todo o caso, mesmo que entenda pela licitude da conservação, o titular dos dados disporá ainda assim do direito de se opor ao tratamento dos seus dados.
De assinalar que a posição do TJUE será tomada em medida de conta pelos competentes órgãos jurisdicionais nacionais e pelas respetivas autoridades de controlo para situações semelhantes às descritas.
[1] Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comissário para a Proteção de Dados e a Liberdade de Informação do Estado Federado de Hesse, Alemanha)