Inicialmente, cumpre destacar que a proteção aos dados pessoais encontra acolhimento Constitucional no que tange a proteção da privacidade, autodeterminação informativa e especialmente no livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. A Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados ou LGPD, foi publicada com a finalidade de dispor sobre o tratamento de dados pessoais, sejam eles físicos ou digitais, por pessoa física ou jurídica de direito público ou privado.
Diante das disposições da LGPD, prevê obrigações aos agentes de tratamentole direitos aos titulares dos dados, muitas empresas ainda não estão totalmente preparadas. Principalmente no que tange ao estabelecimento de procedimentos, análise de riscos e capacitação do tratamento dos dados pessoais por seus colaboradores.
Destaque-se, o Artigo 42 da LGPD, aborda a responsabilidade e o ressarcimento do dano causado pelo descumprimento das obrigações de tratamento de dados pessoais, enquanto o Artigo 52 do mesmo diploma, traz consigo a aplicação de advertência até multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no sey último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Assim, fica claro que a pena de multa por si só já impõe uma sanção administrativa pecuniária bastante relevante.
Ademais, a empresa precisa capacitar esses colaboradores para tratar os dados pessoais que tangenciam a operação, tanto os dados pessoais relacionados aos serviços ou produtos comercializados, por exemplo, dados dos clientes, como os dados de seus próprios colaboradores.
O colaborador também enquadra-se como um titular de dados e, naturalmente, para o estabelecimento da relação profissional, as empresas recebem e tratam dados pessoais de seus colaboradores. Além de manter informações sensíveis em sua base de dados, a empresa pode compartilhá-las com terceiros, seja por cumprimento de obrigação legal, contratual ou outros motivos.
Portanto, relevante que a empresa já tenha estabelecido um programa de privacidade de dados pessoais para então difundir as diretrizes e treinar seus colaboradores sobre quais diretrizes e práticas que devem estar atentos no tratamento dos dados pessoais.
Mas e na esfera trabalhista, posso desligar meu colaborador por justa causa por compartilhar dados como números de CPF e CNPJ, números de cartões de vale refeição, valores carregados nos cartões, arquivos, arquivos de Imposto de Renda de terceiros, holerites de terceiros? Ou seja, o tratamento de dados em desconformidade com a LGPD, bem como com as diretrizes do programa de privacidade de dados da empresa pode implicar em aplicação de sanções ou até mesmo no desligamento do meu colaborador?
Antes de responder, é importante ressaltar a responsabilidade legal da empresa pelos dados constantes em sua base, cabendo a ela proteger, assegurar e controlar tais informações, mesmo que sejam dados de ex-colaboradores, por exemplo. Portanto, considerando tanto as responsabilidades estabelecidas pela
LGPD, como pelas obrigações pós-contratuais previstas no artigo 422 do Código Civil Brasileiro, há possibilidade do enquadramento de conduta do colaborador que viole as diretrizes da companhia quanto ao tratamento e confidencialidade de dados como um caso que seja necessária aplicação de medida disciplinar ou até mesmo o seu desligamento.
Algumas Turmas do E. Tribunal Regional do Trabalho de São Paulo entendem que o tratamento inadequado de dados pode ensejar a demissão por justa causa.
Entre os casos julgados, uma das situações consideradas como tratamento de dados inadequado, e assim, motivada a permanência da justa causa, consistiu no colaborador utilizar-se os dados tratados pela companhia para a venda de pacotes de assinatura de televisão a cabo e internet, através dos CPFs dos titulares dos dados, sem o seu conhecimento.
Outro julgado que manteve a demissão por justa causa merece destaque. Neste o ex-colaborador compartilhou dados pessoais e sigilosos de uma empresa de vale refeição para uma conta pessoal sob a justificativa de que o sistema da empresa travava ao final de sua jornada diária e não mantinha a inserção de informações nas planilhas que era responsável pelo preenchimento.
Neste caso, o desembargador ainda apontou que foi verificado a assinatura de um “termo de confidencialidade e adesão à política de segurança da informação” como anexo do contrato de trabalho que obrigava o colaborador tratar as informações e documentos que tivesse acesso em razão de sua atuação de forma confidencial, bem como de uma cláusula de confidencialidade. Não bastasse o termo e cláusula de confidencialidade, foi destacada violação ao Código de Ética da empresa.
Inclusive, há posicionamento sobre a irrelevância de haver dolo ou não por parte do colaborador, pois o próprio ato de extravio de dados já seria suficiente para a implementação de dispensa por justa causa. Logo, a Justiça do Trabalho busca também impossibilitar um grande “commodity” da economia com comercialização de dados tendo em vista a sua enorme importância econômica.
Em uma breve análise dos pontos destacados dos julgados, nos resta claro que a preparação e conformidade da empresa com a LGPD, instituindo diretrizes internas claras e difundidas para todos os empregados, através da implementação do que podemos nomear como um programa de privacidade de dados, resulta em maior segurança para o tratamento de dados de sua operação. Impondo também garantias legítimas para a empresa, inclusive no âmbito trabalhista, caso seus colaboradores realizem tratamento em desconformidade com as diretrizes internas ou com a LGPD.
