Um oculista, uma newsletter e um pedido de 1.000 euros
Os factos são quase comicamente pequenos para um acórdão com este alcance. Um homem residente na Áustria subscreveu a newsletter da Brillen Rottler, uma ótica familiar de Arnsberg, na Alemanha, introduzindo os seus dados no formulário de inscrição. Treze dias depois enviou a empresa um pedido de acesso ao abrigo do artigo 15 do RGPD. A ótica recusou, apontando relatórios, artigos de blogues e newsletters de advogados que descrevem como a mesma pessoa subscreve sistematicamente newsletters, apresenta pedidos de acesso e depois reclama indemnizações. Ele exigiu pelo menos 1.000 euros por dano não patrimonial causado pela recusa.
O tribunal local de Arnsberg colocou ao Luxemburgo duas perguntas que milhares de empresas europeias, incluindo portuguesas, se fizeram em silêncio: pode um primeiro pedido ser já excessivo, e tem o requerente recusado automaticamente direito a indemnização? A 19 de março de 2026 o Tribunal respondeu a ambas.
O que o Tribunal decidiu de facto
Primeiro: um único pedido de acesso formalmente correto pode já ser excessivo na aceção do artigo 12, número 5, do RGPD e, portanto, ser recusado, quando não foi apresentado para conhecer o tratamento e verificar a sua licitude, mas com a intenção abusiva de criar artificialmente as condições de uma indemnização ao abrigo do artigo 82.
Segundo, o Tribunal enumerou aquilo em que um responsável se pode apoiar para demonstrar essa intenção: todas as circunstâncias do caso, em particular o facto de o titular ter fornecido os dados sem estar obrigado, a finalidade desse fornecimento, o tempo decorrido entre a inscrição e o pedido e a conduta da pessoa. A informação publicamente disponível que mostre um padrão de muitos pedidos seguidos de reclamações contra vários responsáveis pode ser tida em conta, mas não como base exclusiva.
Terceiro, o lado indemnizatório. A compensação do artigo 82 exige prova de um dano patrimonial ou não patrimonial real, e não é devida quando a própria conduta do requerente é a causa determinante do dano. A perda de controlo sobre os dados continua em princípio indemnizável, mas uma perda fabricada não é um dano causado pelo responsável.
A indústria de reclamações que este acórdão seca
O modelo de negócio que o Tribunal descreve tem nome na prática: salto de RGPD. Subscrever dezenas de newsletters, disparar pedidos de acesso, esperar que um responsável falhe o prazo de um mês ou responda de forma incompleta, e então exigir de algumas centenas a alguns milhares de euros por dano não patrimonial. O modelo escala porque responder é caro e transigir é barato. As pequenas empresas, exatamente o tipo familiar no centro deste caso, eram os alvos preferidos.
O acórdão ataca o modelo pelas duas pontas. O próprio pedido pode ser recusado onde a intenção abusiva seja demonstrável, e o pagamento desaba onde o dano foi fabricado pelo requerente. Intocado fica o requerente honesto: o Tribunal reafirmou que o acesso existe para verificar a licitude, e nada no acórdão autoriza a filtrar pedidos por suspeita ou incómodo.
O que mudar no tratamento dos seus pedidos
A leitura errada deste acórdão é que agora se podem recusar pedidos incómodos. O ónus de demonstrar o abuso é seu, a prova tem de ir além de uma sensação, e um pedido mal recusado continua a expô-lo a queixas junto da CNPD, coimas e indemnizações. A leitura certa é que a disciplina probatória compensa: registe cada pedido com o momento e o contexto, responda dentro do prazo por norma, e trate a recusa como a exceção documentada para a qual primeiro se constrói um dossiê.
Para o empresário, o passo operacional é uma triagem escrita dos pedidos: quem os avalia, com que critérios deste acórdão, quem assina uma recusa e onde fica arquivada a prova. Esse rasto documental transforma uma defesa aprovada pelo Tribunal numa defesa que pode realmente usar.
Leia a seguir: As queixas de dados no Reino Unido têm relógio · Dados Ilícitos Podem Vencer no Tribunal



