A Lei Geral de Proteção de Dados (Lei 13709/18), nossa LGPD, está em vigor há mais de um ano. Como seu objeto é o tratamento de dados pessoais (entendidos como dados de pessoas físicas), todos nós de, certa forma, somos impactados pelas normas nela contidas. Suas regras e conceitos, porém, ainda são desconhecidos ou mal compreendidos pela população, em geral e, até mesmo, por aqueles que devem se adequar à lei - os agentes de tratamento de dados e as demais pessoas físicas e jurídicas responsáveis por operá-los.
Uma decisão recente proferida pelo Tribunal Regional do Trabalho de São Paulo jogou luz sobre uma questão importante envolvendo a aplicação da lei: o acesso de empregados a dados pessoais de terceiros, em razão do contrato de trabalho e sua responsabilização em caso de seu tratamento inadequado (o conteúdo da decisão pode ser obtido no site do tribunal).
No caso em questão, o empregado de uma grande empresa foi demitido por justa causa porque transferiu para seu email pessoal arquivos digitais que continham planilhas com milhares de dados pessoais mantidos por uma construtora que era cliente de seu empregador.
Ele ajuizou ação trabalhista buscando a anulação da demissão apresentando, para tanto, dentre outros argumentos, a ausência do compartilhamento dos dados com terceiros. O juiz trabalhista de 1° grau e os desembargadores mantiveram a justa causa. Entenderam que a transferência dos dados para uma conta de email pessoal é uma forma de vazamento de dados e que tal conduta poderia ser considerada falta grave, passível de gerar a dispensa.
Fundamentaram suas decisões em termos de confidencialidade vinculados ao contrato de trabalho e na Lei Geral de Proteção de Dados.
A análise desta decisão revela importantes conceitos relacionados à proteção de dados e nos ajuda a compreender como eles são tratados pela lei.
A LGPD, em seu artigo 5°, X define como tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Da leitura da decisão da Justiça do Trabalho paulista, pode se concluir que o ato praticado pelo empregado pode ser enquadrado como transferência, transmissão ou extração de dados pessoais. E que se a operação foi realizada sem a devida autorização, deve ser classificada como um vazamento de dados.
O outro ponto nela tratado refere-se à responsabilização por esse vazamento. No caso analisado, o colaborador foi responsabilizado de acordo com as normas do direito do trabalho e a aplicação delas revelou não só interdisciplinaridade da LGPD como a necessária interconexão da lei com outros ramos do direito.
Mas uma pergunta ainda fica no ar. Seria possível, também, aplicar àquele colaborador as sanções previstas pela própria Lei Geral de Proteção de Dados? Ele poderia ser multado ou receber uma advertência por parte da Agência Nacional de Proteção de Dados (órgão federal responsável pela fiscalização da aplicação da lei)?
Para se chegar à resposta para esSa questão, é essencial que se entenda quem são os agentes de tratamento de dados sujeitos à lei e à aplicação de suas sanções. Eles são definidos no artigo 5° da lei e intitulados como controlador e operador de dados.
Controlador, segundo o conceito legal, é o agente que toma as principais decisões referentes ao tratamento de dados pessoais, definindo, entre outros pontos, sua finalidade, forma e duração. São, geralmente, as pessoas jurídicas públicas ou privadas identificadas como tais em um contexto fático que revele esse poder de decisão sobre o tratamento.
Operador, por sua vez, é o agente responsável pelo tratamento, conforme a finalidade determinada pelo controlador. Age, sempre, seguindo suas orientações.
Para se visualizar as duas figuras com um exemplo simples, basta imaginarmos a contratação de uma agência por uma rede de supermercados para a realização de uma campanha publicitária. Para prestar o serviço, realizará o tratamento de diversos dados pessoais. E para fazê-lo, seguirá as instruções fornecidas pela rede de supermercados.
São, então, estes os agentes que podem responder administrativamente por incidentes e sofrer as sanções previstas na lei.
Voltemos, então, à pergunta sobre a responsabilização do colaborador de uma empresa que realiza o tratamento de dados pessoais.
Eles não ficam sujeitos às sanções da LGPD porque não são controladores nem operadores, mas meros prepostos destes agentes.
Se realizam, por exemplo, o compartilhamento de dados sem a autorização do titular, as eventuais sanções decorrentes deste tratamento inadequado poderão ser aplicadas a seu empregador, seja ele controlador ou operador de dados.
Como visto na decisão judicial aqui citada, a responsabilização por esta conduta terá por base o direito do trabalho, se a relação entre eles (colaborador e controlador ou operador) decorrer de um contrato de trabalho. Este colaborador pode, também, ser responsabilizado civilmente, podendo ter, por exemplo, que pagar uma indenização ao titular dos dados. Não ficará - repita-se - sujeito às sanções próprias da LGPD.
Enfim, a conscientização sobre as regras e o espírito de uma nova lei, não raro, pode demandar um bom tempo, a depender da matéria por ela tratada e de seu grau de inovação.
Ao que parece, é o que vem ocorrendo com a Lei Geral de Proteção de Dados. Sua interpretação judicial - como ocorrida no caso aqui trazido, será de grande valia para este amadurecimento.