Inicialmente, cumpre destacar que a proteção aos dados pessoais encontra acolhimento Constitucional no que tange a proteção da privacidade, autodeterminação informativa e especialmente no livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. A Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados ou LGPD, foi publicada com a finalidade de dispor sobre o tratamento de dados pessoais, sejam eles físicos ou digitais, por pessoa física ou jurídica de direito público ou privado.
Diante das disposições da LGPD, prevê obrigações aos agentes de tratamento e direitos aos titulares dos dados, muitas empresas ainda não estão totalmente preparadas. Principalmente no que tange ao estabelecimento de procedimentos, análise de riscos e capacitação do tratamento dos dados pessoais por seus colaboradores.
Destaque-se, o Artigo 42 da LGPD, aborda a responsabilidade e o ressarcimento do dano causado pelo descumprimento das obrigações de tratamento de dados pessoais, enquanto o Artigo 52 do mesmo diploma, traz consigo a aplicação de advertência até multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Assim, fica claro que a pena de multa por si só já impõe uma sanção administrativa pecuniária bastante relevante.
Leia também: A responsabilidade civil de agentes no vazamentos de dados
Ademais, a empresa precisa capacitar esses colaboradores para tratar os dados pessoais que tangenciam a operação, tanto os dados pessoais relacionados aos serviços ou produtos comercializados, por exemplo, dados dos clientes, como os dados de seus próprios colaboradores.
O colaborador também enquadra-se como um titular de dados e, naturalmente, para o estabelecimento da relação profissional, as empresas recebem e tratam dados pessoais de seus colaboradores. Além de manter informações sensíveis em sua base de dados, a empresa pode compartilhá-las com terceiros, seja por cumprimento de obrigação legal, contratual ou outros motivos.
Portanto, relevante que a empresa já tenha estabelecido um programa de privacidade de dados pessoais para então difundir as diretrizes e treinar seus colaboradores sobre quais diretrizes e práticas que devem estar atentos no tratamento dos dados pessoais.
Mas e na esfera trabalhista, posso desligar meu colaborador por justa causa por compartilhar dados como números de CPF e CNPJ, números de cartões de vale refeição, valores carregados nos cartões, arquivos, arquivos de Imposto de Renda de terceiros, holerites de terceiros? Ou seja, o tratamento de dados em desconformidade com a LGPD, bem como com as diretrizes do programa de privacidade de dados da empresa pode implicar em aplicação de sanções ou até mesmo no desligamento do meu colaborador?
Antes de responder, é importante ressaltar a responsabilidade legal da empresa pelos dados constantes em sua base, cabendo a ela proteger, assegurar e controlar tais informações, mesmo que sejam dados de ex-colaboradores, por exemplo. Portanto, considerando tanto as responsabilidades estabelecidas pela LGPD, como pelas obrigações pós-contratuais previstas no artigo 422 do Código Civil Brasileiro, há possibilidade do enquadramento de conduta do colaborador que viole as diretrizes da companhia quanto ao tratamento e confidencialidade de dados como um caso que seja necessária aplicação de medida disciplinar ou até mesmo o seu desligamento.
Algumas Turmas do E. Tribunal Regional do Trabalho de São Paulo entendem que o tratamento inadequado de dados pode ensejar a demissão por justa causa. Entre os casos julgados, uma das situações consideradas como tratamento de dados inadequado, e assim, motivada a permanência da justa causa, consistiu no colaborador utilizar-se os dados tratados pela companhia para a venda de pacotes de assinatura de televisão a cabo e internet, através dos CPFs dos titulares dos dados, sem o seu conhecimento.
Outro julgado que manteve a demissão por justa causa merece destaque. Neste o ex-colaborador compartilhou dados pessoais e sigilosos de uma empresa de vale refeição para uma conta pessoal sob a justificativa de que o sistema da empresa travava ao final de sua jornada diária e não mantinha a inserção de informações nas planilhas que era responsável pelo preenchimento.
Veja também: Facebook e seus controversos Meta-desafios
Neste caso, o desembargador ainda apontou que foi verificado a assinatura de um "termo de confidencialidade e adesão à política de segurança da informação” como anexo do contrato de trabalho que obrigava o colaborador tratar as informações e documentos que tivesse acesso em razão de sua atuação de forma confidencial, bem como de uma cláusula de confidencialidade. Não bastasse o termo e cláusula de confidencialidade, foi destacada violação ao Código de Ética da empresa.
Inclusive, há posicionamento sobre a irrelevância de haver dolo ou não por parte do colaborador, pois o próprio ato de extravio de dados já seria suficiente para a implementação de dispensa por justa causa. Logo, a Justiça do Trabalho busca também impossibilitar um grande “commodity” da economia com comercialização de dados tendo em vista a sua enorme importância econômica.
Em uma breve análise dos pontos destacados dos julgados, nos resta claro que a preparação e conformidade da empresa com a LGPD, instituindo diretrizes internas claras e difundidas para todos os empregados, através da implementação do que podemos nomear como um programa de privacidade de dados, resulta em maior segurança para o tratamento de dados de sua operação. Impondo também garantias legítimas para a empresa, inclusive no âmbito trabalhista, caso seus colaboradores realizem tratamento em desconformidade com as diretrizes internas ou com a LGPD.
*Danillo Masko e Nathália Nastri são, respectivamente, advogado e advogada sênior da área de Compliance, Investigações Internas e Privacidade de Dados do WFaria Advogados.
Add new comment