A responsabilidade civil do responsável pelo tratamento de dados por facto do subcontratante
- Autores: Ricardo Menezes
- Localización: Revista Electrónica de Direito. RED, ISSN-e 2182-9845, Vol. 35, Nº. 3, 2024, págs. 219-237
- Idioma: varios idiomas
- Enlaces
-
Resumen
- español
The aim of the present article is to analyse the legal framework applicable to the civil liability of the data controller towards third parties for actions attributable to the data processor, in light of the provisions of the General Data Protection Regulation (hereinafter “GDPR”). In relation to non-contractual liability, we reach the conclusion that the most correct position is the one endorsed by legal scholars who understand that the GDPR establishes a model of strict civil liability (i.e., the controller is legally responsible for the consequences flowing from the activity of the processor even in the absence of fault). Taking this into consideration, some Portuguese legal scholars have sustained that the regime which establishes the civil liability of the principal (comitente) for damages caused by its agent (comissário), pursuant to article 500 of the Portuguese Civil Code, should apply in this context.
A for cases where data processing operations occur within the scope of a contractual relationship, the application of the solution provided in article 800 of the Portuguese Civil Code has also been considered. However, we have concluded that the application of the regimes provided in both of the aforementioned articles depends on the fulfilment of more demanding requirements than those we believe are established under the GDPR, leading us to align with the legal scholars who argue against the application of these Portuguese legal regimes to the processing of personal data.
- Multiple
O presente estudo tem por objeto a análise do regime aplicável à responsabilidade civil do responsável pelo tratamento de dados pessoais perante terceiros por facto imputável ao subcontratante, à luz do disposto no Regulamento Geral sobre a Proteção de Dados (doravante “RGPD”). No que respeita à responsabilidade extracontratual, concluímos ser mais correta a posição dos autores que entendem que o RGPD consagra um modelo de responsabilidade civil objetiva. Neste âmbito, parte da doutrina tem defendido a aplicação do regime da responsabilidade civil do comitente pelos danos causados pelo comissário (art. 500.º do Código Civil). Quanto aos casos em que as operações de tratamento de dados se realizem no quadro de uma relação obrigacional, também tem sido equacionada a aplicação da solução acolhida pelo art. 800.º do Código Civil. Concluímos, no entanto, que a aplicação dos regimes previstos nas normas legais referidas depende da verificação de pressupostos mais exigentes que aqueles que consideramos estarem previstos no RGPD, pelo que aderimos à posição dos autores que defendem a não aplicação destes regimes da lei portuguesa a operações de tratamento de dados
- español
