Pelo Dr. Dário Letang
A Lei Geral de Proteção de Dados (Lei nº. 13709/2018) está em vigor desde 2020 e suas penalidades podem ser aplicadas desde 2021 e, em alguns casos retroativamente, assim, é importante que a população tome consciência de como as penalidades funcionam.
Alguns colegas tem interpretado que os empregados não respondem por infrações à LGPD, afinal, a legislação civil e a legislação trabalhista determinam que o empregador é quem assume o risco da atividade econômica e é o responsável pelas ações dos colaboradores em seu nome empresarial.
Mas, o que temos visto nos tribunais não é bem isso. Se o empregado age infringindo regras do contrato de trabalho, expondo seu empregador a riscos relacionados à LGPD, ele pode sim, ser responsabilizado em termos trabalhistas, cíveis e criminais.
A hipótese de o empregado não responder, está absolutamente ligada ao cumprimento do contrato de trabalho e código de conduta empresarial. Afinal, se ali constam regras que coíbem ou limitam a divulgação de dados, com cláusulas especificas sobre confidencialidade, segurança da informação e, claro, proteção de dados, evidentemente que o colaborador que descumpre tais regras, fica sujeito as penalidades cabíveis.
Em recente decisão do Tribunal Regional do Trabalho (TRT-2), foi confirmada a Demissão por Justa Causa de um colaborador que enviou dados de funcionários dos clientes da sua empregadora, para o seu e-mail pessoal. Importante frisar que os dados sequer foram divulgados ou enviados para terceiros, mas, somente o fato de descumprir regra de sigilo e manipulação dos dados, foi o suficiente para convencer o juízo de primeiro grau e também os desembargadores do Tribunal, no sentido de que, fora legítima a penalidade máxima aplicada ao contrato de trabalho.
Reformulação do Contrato de Trabalho
A LGPD de forma geral, não distingue quem manipula os dados, seu objetivo é proteger os dados das pessoas físicas e, portanto, cabe as empresas criarem mecanismos que dificulte – se não for possível impedir – que os dados dos titulares sejam manipulados em desrespeito ao que permitiram.
Lei nº. 13.709/2018
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Assim, quando se fala que todas as pessoas físicas ou jurídicas, com ou sem fins lucrativos, precisam se adequar à LGPD, o que elas precisam é criar regras para a captação, utilização e armazenamento dos dados pessoais e sensíveis que necessita para o desenvolvimento da sua atividade.
E, nesse contexto, é importante que seus representantes, colaboradores e contratados, tenham conhecimento dessas regras [Política de privacidade], estejam vinculados à elas contratualmente e, na hipótese de descumprimento, sejam responsabilizados imediatamente.
Muitos empregadores ainda não se atentaram para essa responsabilidade e utilizam contratos de trabalho simplórios e padronizados para regulação do trabalho de seus empregados e, esse cenário é o pior possível, afinal, na hipótese de descumprimento de regras assumidas por eles [empregadores] pelos seus colaboradores, além de não haver respaldo legal para buscar se isentar das responsabilidades cíveis e criminais, também não poderá agir com rigor em âmbito trabalhista.
Adequação à LGPD
Nós entendemos que a adequação à LGPD é um assunto absolutamente particular, afinal, por mais parecidos que possam ser alguns ramos de atividade, cada um possui suas especificidades e, cada detalhe, impacta diretamente na adequação a ser implantada.
Recebemos muitos questionamentos se o que a LGPD impõe é alguma espécie de programa de compliance ou de ISO e, de certa forma, acreditamos que se forem aplicados os conceitos de conformidade e de ISO no exercício da atividade, em muito se estará adequando à LGPD. No Brasil não temos sequer uma norma da ABNT objetiva sobre LGPD, mas, uma norma que trata da Privacidade da Informação e, faz uma correlação com a LGPD.
Dessa forma, um diagnóstico bem elaborado, que identifique exatamente como é o desenvolvimento da atividade, especialmente no tocante a captação, utilização e armazenamento de dados pessoais e sensíveis é o primeiro passo para a adequação. Em seguida, é necessário estabelecer a política de privacidade e como esse agente de tratamento quer se comunicar com seu público, para que então, seja possível, elaborar o projeto de adequação.
Com o projeto de adequação estabelecido e aprovado, é o momento de iniciar a implantação e, essa tarefa passa por:
- Ajustar procedimentos de cadastro das pessoas físicas;
- Aditar contratos de trabalho;
- Aditar ou elaborar código de ética e conduta empresarial;
- Aditar contratos com fornecedores;
- Regulamentar o arquivo de documentos, entre outras atividades.
Se você ainda não está realizando os procedimentos para adequação a LGPD, fique atento. As penalidades por descumprimento da lei, como o vazamento de dados, p.ex., se iniciam com advertências, passam por multas de 2% do faturamento até R$ 50 milhões e podem ainda suspender o exercício da atividade.
Dr. Dário Letang Atua nas áreas de Direito Tributário, Empresarial e Societário. Pós-Graduado em Direito Tributário pela Escola Paulista de Direito – EPD; MBA-Executivo pelo INSPER; Advogado e Contador.
LETANG ADVOGADOS ASSOCIADOS
www.letang-advogados.com.br – dario@letang-advogados.com.br
- Para saber mais a respeito desse e de outros assuntos, entre em contato conosco.