Reflexos da LGPD (Lei Geral de Proteção de Dados) começam a aparecer.
Luiz Carlos Aceti Junior[1]
Lucas Reis Aceti[2]
Enzo Reis Aceti[3]
Assim que a Lei nº 13.709 entrou em vigor, em 14 de agosto de 2018, foi instituída no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD) e mais recentemente, na data de 11 de fevereiro de 2022, foi publicada no Diário Oficial da União, a Emenda Constitucional n°155, promulgada em sessão do Congresso Nacional em 10 de fevereiro de 2022, alterando a Constituição Federal de 1988, para (i) incluir a proteção de dados pessoais entre os direitos e garantias fundamentais; e (ii) fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Em seu artigo 3º, a LGPD se aplica a todas as organizações e instituições que realizam tratamento e ou armazenamento de dados pessoais, objetivando fins econômicos, sejam elas pessoas físicas ou jurídicas, de direito privado ou público, ou ainda entidades do terceiro setor.
A LGPD tem o objetivo de proteger os direitos fundamentais, principalmente os de liberdade e privacidade, assim como o desenvolvimento da personalidade humana e estabelecimento de uma série de obrigações às empresas para um tratamento de dados adequado, com a adoção de medidas e mecanismos de controle para segurança e proteção dos dados pessoais tratados.
É importante ressaltar que o próprio texto da LGPD, em seus artigos 18 e 45, estabelece que a competência para punir não será exclusiva da ANPD, visto que as violações de direitos dos titulares nas relações de consumo continuam sujeitas à legislação pertinente e que o titular dos dados pode exercer seus direitos nos órgãos de proteção do consumidor (quando caso de relação consumerista). E, dessa forma, além da ANPD como agente fiscalizador, também o Departamento Estadual de Proteção e Defesa do Consumidor (Procon), Senacon e Ministério Público são competentes para fiscalizar as relações entre o titular dos dados e os agentes de tratamento (pessoas físicas ou jurídicas, de direito privado ou público, ou ainda entidades do terceiro setor).
Portanto, o tema “Lei Geral de Proteção de Dados Pessoais (LGPD)” passou a ter reflexos significativos no dia a dia dos empreendedores, passando, inclusive, a ser tema de decisões judiciais.
Tanto isso é verdade que os julgados a seguir demonstram a importância do tema para os empreendedores, que precisam se ajustar com rapidez às determinações da LGPD, mantendo suas equipes de funcionários e terceirizados treinados, assim como todos os processos que envolvam dados pessoais devidamente adequados ao que prevê a Lei.
Notem que, tanto para empregadores como para empregados, existem responsabilidades:
O primeiro julgado relevante é do TRT 2ª Região[4] que confirmou a dispensa por justa causa de empregado que enviou para e-mail pessoal lista com dados da sua tomadora de serviços. Segundo o empregado, ele teria agido dessa forma em razão da ausência de resposta por parte da supervisão e porque o sistema impediria a continuidade das atividades quando finalizada a jornada contratual e que, assim, perderia todo o trabalho realizado até então na planilha em que trabalhava.
Entretanto, não conseguiu fazer prova de suas alegações.
O TRT 2ª Região entendeu que mesmo que as informações não tenham sido repassadas a terceiros, a transferência de dados da empresa para conta pessoal do empregado se trata de falta disciplinar grave que enseja a dispensa por justa causa.
A testemunha do autor confirmou que era de conhecimento de todos os trabalhadores que os dados com que trabalhavam não poderiam ser obtidos de forma “pessoal” – tanto que sequer poderiam levar seus celulares para o setor em que trabalhavam.
O segundo julgado relevante também é do TRT 2ª Região[5], que sob a justificativa de respeitar a Lei Geral de Proteção de Dados, uma empregada de hospital recusou-se a entregar prontuário médico de reclamante, mesmo após o oficial de justiça explicar que quando se trata de atividade jurisdicional não se pode negar a entrega de documento diante de determinação judicial, em que não se aplica consentimento de titular, nos termos do artigo 11, inciso II, alínea d da Lei 13.709/2018.
Em consequência, ao hospital foi aplicada multa de R$5.000,00 (cinco mil reais) e à empregada do respectivo Hospital a imputação de crime de desobediência.
O terceiro julgado relevante é do TRT 15ª Região[6], num processo trabalhista em que a reclamada recusou-se a entregar documentos solicitados pelo sindicato, que figurava na condição de sindicato autor. Merece destaque a ressalva do entendimento do Desembargador João Alberto A. Machado: “Ressalvo entendimento pessoal. A entrega de dados pessoais ao Sindicato deveria se limitar aos associados do sindicato. Para os demais não teria de haver consentimento nos moldes da Lei 13.709/2018(LGPD).”
A observação do Desembargador reforça a importância do cuidado ao tratar um dado pessoal. E nesses termos, os departamentos pessoais, jurídicos, contábeis, e demais, que de alguma forma possam armazenar ou mesmo gerar transmissão de dados internos ou externos, são os setores que mais requerem atenção com a referida Lei.
Outra decisão importante sobre o tema se deu perante o Tribunal Regional do Trabalho da 4ª Região, no processo nº 0020043-80.2021.5.04.0261, em que o Sindicato dos Trabalhadores, autor da Reclamação Trabalhista, alegou que uma Cooperativa Empregadora estava descumprindo, de forma sistemática, a proteção de dados de seus colaboradores. O Magistrado entendeu que o cumprimento das determinações da LGPD não depende de regulamentação específica, pois a norma já está vigente desde setembro de 2020, e acolheu parcialmente os pedidos formulados pela reclamante e condenou a reclamada a indicar e nomear um encarregado de proteção de dados/data protection officer (DPO); implementar e comprovar nos autos as práticas relacionadas à segurança e sigilo de dados e a comprovar nos autos o cumprimento das obrigações impostas, no prazo de 90 dias, sob pena de multa diária de R$ 1 mil.
Na Justiça Comum, em processos cíveis, não é diferente. A primeira decisão a utilizar-se da LGPD de que se tem conhecimento no Estado de São Paulo, ocorreu no TJSP – Processo nº 1080233-94.2019.8.26.0100, tendo a respectiva sentença (29/9/2020) preferida, em que a Magistrada da 13ª Vara Cível de São Paulo/SP condenou uma construtora, empresa do ramo imobiliário, a indenizar em R$10.000,00 (dez mil reais) um cliente que teve informações pessoais enviadas para outras empresas.
Outro exemplo na esfera cível foi o Processo nº 07282789720208070001, da 6ª Turma Cível do Tribunal de Justiça do Distrito Federal, sendo que seu objeto foi um pedido de indenização por danos morais ajuizada contra empresa jornalística que publicou os dados bancários e cópias de contracheques do autor. Nos fundamentos da sentença, o Magistrado considerou os conceitos previstos na LGPD, tais como finalidade, necessidade e adequação (artigo 6º, incisos I, II e III), julgando a ação parcialmente procedente, sendo declarado pelo Poder Judiciário que a divulgação dos dados bancários e dos contracheques do autor ultrapassou a finalidade de informação.
Um último exemplo na esfera cível foi a sentença prolatada pela 7ª Vara Cível de São José do Rio Preto/SP (Processo 1030767-27.2020.8.26.0576), em que uma empresa restou condenada ao pagamento de danos morais, no valor de R$4.000,00 (quatro mil reais), em razão da divulgação de dados sem base legal válida e, tampouco, sem a autorização expressa de seu titular. Na decisão, o Magistrado registra que “a divulgação de números de telefones pessoais do consumidor não se mostra adequada, nem necessária, para proteção ou análise de crédito, quando o dado não é voluntariamente disponibilizado” e complementa: “/…/ portanto, tal divulgação vulnerou sim direitos personalíssimos do autor, promovendo acesso indiscriminado, por meio dos números de telefones, que sabidamente é fonte de aborrecimentos e abusos nas relações entre credores e devedores, como meio de cobrança”.
Nenhuma das decisões judiciais supracitadas, ou mesmo de outros tribunais que versem sobre a LGPD, podem ser consideradas como definitivas ou mesmo como dogmas do tribunal X ou tribunal Y, por exemplo. Isso porque a jurisprudência sobre o tema ainda está para ser formada: a proteção de dados ainda engatinha no cenário jurídico brasileiro, o que, contudo, não impede que sirva de alerta aos empreendedores brasileiros e estrangeiros que atuem no Brasil a agirem atentos a essa nova legislação.
Sem dúvida, o desafio de adequação à LGPD é árduo, pois requer a implementação de uma cultura de Compliance Digital, com a criação de processos e procedimentos adequados, organização dos dados coletados, valorização de uma estrutura de tecnologia e segurança da informação e, sobretudo, a conscientização de que os dados pessoais são fornecidos por seus titulares para finalidades específicas, com hipóteses de tratamento previstas em lei e, em especial, que não pode, o agente de tratamento, utilizá-los da forma como bem entender.
Portanto, o Empreendedor precisa ter a consciência de que seus colaboradores necessitam de treinamento periódico para minimizar riscos perante a LGPD, mas também para fixar na mente dos respectivos colaboradores que um ato impensado poderá resultar em grandes prejuízos e preocupações.
Da mesma forma, as organizações do Terceiro Setor precisam também se adequar a LGPD, pois estão sujeitas aos mesmos prejuízos e preocupações.
[1] Advogado. Pós-graduado em Direito de Empresas. Especializado em Direito Ambiental, Direito Empresarial Ambiental, Direito Agrário Ambiental, Direito Ambiental do Trabalho, Direito Minerário, Direito Sanitário, Direito de Energia, Direito em Defesa Agropecuária, e respectivas áreas afins. Mestrado em Direito Internacional com ênfase em direito ambiental e direitos humanos. Professor de pós-graduação em direito e legislação ambiental de várias instituições de ensino. Palestrante. Parecerista. Consultor de empresas na área jurídico ambiental. Escritor de livros e artigos jurídicos em direito empresarial e direito ambiental. Coordenador do GT (Grupo de Trabalho) Jurídico da Abraps – Associação Brasileira dos Profissionais pelo Desenvolvimento Sustentável www.abraps.org.br . Consultor de www.mercadoambiental.com.br e www.mosaieco.com.br . Sócio da ACDP www.acdp.com.br . Diretor da Aceti Advocacia www.aceti.com.br
[2] Graduando em direito pela UNIFEOB. Estagiário da Aceti Advocacia www.aceti.com.br
[3] Graduando em direito pela UNIFEOB. Estagiário da Aceti Advocacia www.aceti.com.br
[4] Recurso Ordinário Trabalhista nº 1000612-09.2020.5.02.0043 – Tribunal Regional do Trabalho da 2ª Região.
[5] Processo Judicial Eletrônico 9ª Vara Do Trabalho De São Paulo – Zona Leste – Atord 1000267-57.2021.5.02.0609.
[6] Processo nº 0010675-79.2019.5.15.0077 Tribunal Regional do Trabalho da 15ª Região.