Por Michele Lima
Não é segredo para ninguém que a Lei Geral de Proteção de Dados, nº 13.709/20418, está em pleno vigor sendo necessária a conscientização de que ela representa uma mudança de mentalidade tão importante quanto a entrada em vigor do Código de Defesa do Consumidor em 1990.
Além da adequação, o assunto LGPD ainda terá outros capítulos previstos antes de acabar. Isso porque as punições em caso de desrespeito à Lei serão aplicadas a partir de agosto de 2021 pela Agência Nacional de Proteção de Dados (ANPD), porém, além das multas aplicadas por este órgão existe uma previsão no artigo 55-J, §3º da Lei que determina que:
“A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.”
É certo que a fiscalização será recorrente e as multas poderão advir não somente pela provocação do Judiciário pelos próprios titulares dos dados, mas também por outros órgãos, como Procons, MP, Senacons, SRTE, Sindicatos e outros tantos existentes em nosso país.
Diante desse cenário, surge uma pergunta recorrente: “O empregado pode ser responsabilizado pelo vazamento de dados a que der causa?”
O empregador responde pelos atos de seu empregado em razão de exercer sobre ele relação hierárquica de mando ou autoridade concernente ao exercício do trabalho que lhe compete. (art. 932, inciso III do Código Civil).
Não bastasse a reponsabilidade pelos atos praticados por seus empregados, os empregadores não podem transferir aos empregados os riscos existentes em sua atividade econômica, sendo de sua responsabilidade a assunção de riscos do negócio, art. 2º da CLT.
Assim, se o empregador responde pelos atos de seus empregados e não pode responsabilizá-los pelos riscos do negócio, o que resta as empresas é criar políticas específicas de tratamentos de dados, treinar bem seus empregados e fazer uso de seu poder disciplinar aplicando advertências, suspensões e até mesmo justa causa em caso de descumprimento.
Não é possível punir um empregado por um procedimento para o qual não foi treinado, desse modo, antes de aplicação de penalidades é importante levar informação e realizar treinamentos com os empregados para que tenham consciência e ajam de forma adequada às exigências contidas na LGPD.
Via de regra, observamos que o procedimento mais comum, mas, não obrigatório, é a aplicação de uma advertência, duas suspensões, e, só então, a justa causa. Entretanto, casos graves podem ensejar a rescisão por justa causa sem qualquer gradação de penalidade.
Havendo a criação de uma política interna de proteção de dados é possível que a empresa estabeleça critérios objetivos de punição, desde que aplicáveis igualmente para todos empregados, haja vista o caráter pedagógico que envolve a medida criada justamente para inibir condutas similares e futuras dos demais empregados.
Importante salientar que os outros requisitos para aplicação de punições também devem ser observados, quais sejam: a imediatidade (a punição deve ser atual, pois o transcurso do longo tempo entre a falta e a penalidade acarreta a presunção de perdão ou renúncia ao direito de punir); a singularidade da punição (a cada falta cometida pelo empregado somente uma pena deve ser aplicada); não discriminação (para uma mesma falta, a mesma punição, independentemente do empregado que a cometeu); e proporcionalidade (a pena deve sempre ser proporcional à falta cometida).
Por fim, é sempre bom lembrar que empresas são feitas por pessoas e uma equipe bem treinada irá garantir a incorporação da proteção de dados pessoais à cultura empresarial, evitando incidentes e, consequentemente, a aplicação de multas administrativas, além da propositura de ações judiciais.
Advogada. Especialista em Direito do Trabalho e Processo do Trabalho pela UFG. Pós-graduanda em Direito Digital. DPO – Data Protetion Officer – certificada pela Exin (PDPE, PDPF, ISFS e PDPP). Professora de cursos preparatórios para OAB.
michele.lima@laramartinsadvogados.com.br