LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

 A Lei Geral de Proteção de Dados, conhecida como LGPD - Lei 13.709/2018, objetiva proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, mediante a disposição sobre o tratamento de dados pessoais.

A LGPD passou a vigorar em dia 18 de setembro de 2020. As suas sanções administrativas, entretanto, passaram a vigorar a partir de 01 de agosto de 2021.

Nota: Veja abaixo detalhes sobre o tratamento de dados para agentes de pequeno porte.

CONCEITOS PRELIMINARES

A LGPD trouxe novos conceitos para o arcabouço legislativo brasileiro.

Dentre estes, estão:

  • Dados pessoais: informação relacionada à pessoa natural identificada ou identificável;

  • Dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

  • Tratamento: toda operação realizada com dados pessoais;

  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;

  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

CATEGORIAS DOS DADOS - PESSOAIS E PESSOAIS SENSÍVEIS

Como definido nos conceitos acima, os dados são classificados em pessoais e pessoais sensíveis. Embora se trata de dados que identificam a pessoa natural, a diferença principal está relacionada ao tratamento que deve ser dado, dependendo da finalidade a que se destina.

  • Pessoais: nesta categoria estão todos os dados considerados "objetivos" (art. 5º, I da LGPD), que identifica a pessoa de forma direta.

Exemplo: nome, RG, CPF, PIS, CTPS, telefone, endereço, etc.;

  • Pessoais Sensíveis: nesta categoria estão todos os dados considerados "subjetivos" (art. 5º, II da LGPD), que podem revelar características físicas, opiniões políticas e religiosas, aspectos da vida da pessoa que podem gerar situações delicadas, como algum tipo de discriminação ou exposição.

Exemplo: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

É importante o empregador se atentar na forma de tratamento dos dados, principalmente dos dados sensíveis, tendo em vista que o art. 11 da LGPD estabelece as hipóteses de operação para estes tipos de dados, conforme mencionado no subtópico abaixo.

 

TRATAMENTO DOS DADOS PESSOAIS SENSÍVEIS

De acordo com o art. 11 da LGPD - Lei 13.709/2018, o tratamento (operação) de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei 9.307/1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardado ao titular o direito ao acesso facilitado às informações sobre o tratamento de seus dados (art. 9º da LGPD) e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

O disposto acima se aplica a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II acima (órgãos e entidades públicas), o Poder Público (no exercício de suas competências) dará publicidade à dispensa de consentimento no tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades (art. 23, I da LGPD).

A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores, com objetivo de obter vantagem econômica, poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (ver nota), incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

  • a portabilidade de dados quando solicitada pelo titular; ou

  • as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde e assistência.

Nota: É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

 

CUMPRIMENTO DE NORMAS DA LEI TRABALHISTA E PREVIDENCIÁRIA

O profissional de RH, por tratar de dados pessoais sensíveis, deverá ter o dobro de atenção em seus processos, pois eles são tratados de forma excepcional pela LGPD, que restringe o seu tratamento apenas quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas ou então sem consentimento para cumprimento de obrigação legal.

Como são muitas informações na admissão do empregado, é necessário, primeiramente, criar um termo de consentimento, em que o empregado assina para, expressamente, concordar que seus dados pessoais sejam processados internamente ou disponibilizados para cumprimento de obrigações legais, previdenciárias e trabalhistas.

Assim, recomenda-se que o termo abaixo seja impresso para todos os empregados ativos na empresa, bem como para todo e qualquer empregado que seja admitido, a fim de que o mesmo possa manifestar, expressamente, que autoriza a empresa a utilizar os dados pessoais para os fins a que se destinam.

Veja aqui um Modelo de Termo de Consentimento de Uso de Dados Pessoais - LGPD.

CUIDADOS COM OS DADOS PESSOAIS - DEPARTAMENTO DE TI

Importante é verificar, junto ao departamento de informática (Tecnologia da Informação - TI), a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Monitorar e prevenir invasões ou acesso indevido de pessoas não autorizadas é agora uma obrigação legal do gestor de recursos humanos.

É importante que a empresa/empregador defina um encarregado, DPO (Data Protection Officer), que será indicado e deverá ter sua identidade e informações para contato divulgadas publicamente, de forma clara e objetiva.

O encarregado será responsável por:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

  • receber comunicações da autoridade nacional e adotar providências;

  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A empresa poderá comprovar que garante a proteção dos dados do empregado por meio dos documentos que devem compor o Relatório de Impacto à Proteção de Dados Pessoais, tais como:

  • mapeamento do ciclo de vida do dado pessoal;

  • mapeamento de risco;

  • identificação dos agentes de tratamento em cada etapa ou processo de tratamento de dados;

  • criação de políticas, códigos de conduta e comprovantes de treinamento, dentre outros.

Além disso, há certificações mundiais sobre segurança da informação que a empresa poderá comprovar ser detentora, tais como a ISO 27001 e 27002, o que pode garantir que o empregador atende às exigências sobre a segurança eletrônica das informações dos empregados.

 

TÉRMINO DE TRATAMENTO DE DADOS - ELIMINAÇÃO APÓS O TRATAMENTO

 

De acordo com o art. 15 da LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

  • verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

  • fim do período de tratamento;

  • comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento (art. 8º, § 5º da LGPD), resguardado o interesse público; ou

  • determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Eliminação dos Dados

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação (art. 16, inciso I da LGPD) para as seguintes finalidades:

  • cumprimento de obrigação legal ou regulatória pelo controlador;

  • estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

  • transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou

  • uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

EMPREGADO DEMITIDO - ELIMINAÇÃO OU MANUTENÇÃO DOS DADOS

 

O entendimento que se extrai do art. 16, inciso I da LGPD é de que o controlador (empregador) poderá manter os dados do empregado mesmo após o desligamento deste, uma vez que mesmo após a rescisão, há obrigações legais e regulatórias que o empregador deve cumprir.

 

Portanto, ainda que o empregado demitido exerça seu direito de requerer a eliminação de seus dados pessoais que constam na empresa, o art. 18, inciso VI da LGPD prevê que este exercício é limitado quando se tratar das hipóteses previstas acima.

 

Significa dizer que o empregador não está sujeito ao requerimento do empregado após o seu desligamento, tendo em vista que a maioria dos dados mantidos na empresa, são informações obrigatórias exigidas por lei e que não podem ser eliminadas, sob pena de multas e sanções pela fiscalização do trabalho.

 

São informações ou documentos eletrônicos do empregado, tais como holerites, informe de rendimentos, dados no registro de empregados, registros de entrada e saída do cartão ponto, férias, advertências, suspensões, auxílio-doença, acidente de trabalho, dentre outros, que poderão serem reivindicados em determinados atos, tais como:

  • Fiscalização trabalhista;

  • Fiscalização previdenciária;

  • Reclamatória trabalhista;

  • Perícia médica;

  • Contestação de Fator Acidentário Previdenciário - FAP;

  • Laudos Técnicos e Programas de Prevenção tais como LTCAT, PCMSO, SESMT, PPRA e PPP.

  • Documentos que comprovam a relação de emprego e rendimentos auferidos ao longo do vínculo empregatício;

  • Declaração de dependentes (para fins previdenciários - salário família - e do imposto de renda);

  • Dentre outros documentos que, por motivos legais, obrigam o empregador a comprovar dados perante aos órgãos federais.

Por tais motivos e com base na própria LGPD, o empregador poderá manter os dados do empregado após o desligamento.

 

GUIA DE BOAS PRÁTICAS

 

A implementação de um guia de boas práticas e governança de dados pessoais é altamente aconselhada e deve seguir algumas diretrizes, especificadas na própria LGPD:

  • demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

  • seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

  • seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

  • estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

  • tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular, estando integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

  • conte com planos de resposta a incidentes e remediação; e

  • seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas. 

Nota: Importante deixar claro que a adoção de um guia de boas práticas e governança será levado em consideração na hora de aplicação de eventual sanção administrativa prevista na LGPD.

 

SANÇÕES

 

As sanções contidas na LGPD são nove e podem variar desde uma advertência até a proibição do exercício de atividades relacionada a tratamentos dados ou multa em valor de até R$ 50.000.000,00 (cinquenta milhões de reais).

 

Para a aplicação das sanções, serão observados alguns requisitos, tais como:

  • A gravidade e a natureza das infrações e dos direitos pessoais afetados;

  • A boa-fé do infrator;

  • A vantagem auferida ou pretendida pelo infrator;

  • A condição econômica do infrator;

  • A reincidência;

  • O grau do dano;

  • A cooperação do infrator;

  • A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento e a adoção de política de boas práticas e governança;

  • A pronta adoção de medidas corretivas; e

  • A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

PASSO A PASSO

 

Recomenda-se que o gestor implemente o seguinte cronograma:

 

1- Nomeie um encarregado interno, que atuará como Agente de Proteção de Dados; 

2 - Revise procedimentos internos da empresa, a fim de levantar quais dados são tratados, quais são essenciais, quais dispensáveis, quais tratamentos são feitos. Utilize uma tabela incluindo todos os dados e setores pelos quais eles passam dentro da empresa; 

3 - Elabore um guia de boas práticas e governança; 

4 - Elabore a Política de Privacidade englobando as diretrizes da LGPD, bem como demais acordos de tratamento necessários; 

5 - Revise contratos com terceiros, para que passem a constar diretrizes sobre proteção de dados. 

6 - Monte grupo de trabalho (conforme o tamanho da empresa), incluindo representantes de áreas como Recursos Humanos, Tecnologia da Informação e Jurídico; 

7 - Faça reuniões com todos os setores da empresa, individualmente, para conhecer e detalhar os dados que transitam por cada um;

8 - Revise contratos dos colaboradores da empresa.

AÇÕES DIÁRIAS

 

Dentre as ações diárias recomendadas ao gestor de RH, inclui-se efetuar o registro das provas de atendimento e resposta aos empregados relativos aos direitos e os relatórios das solicitações dos mesmos, fornecendo assim provas para o empregador na eventual possibilidade de litígios. 

 

Desta forma, será possível evitar ou minimizar as possíveis onerosidades advindas das sanções pecuniárias ou administrativas impostas pela LGPD.

 

AGENTES DE PEQUENO PORTE - ME / EPP / STARTUPS - TRATAMENTO DIFERENCIADO

 

A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, por meio da Resolução ANPD 02/2022, o Regulamento da LGPD para agentes de tratamento de pequeno porte, com base nas competências previstas no art. 55-J, inciso XVIII, da referida Lei.

 

O referido regulamento não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como nas demais hipóteses previstas no art. 4º da LGPD.

 

O referido regulamento trouxe as seguintes definições:

I - agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

 

II - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, Sociedade Limitada unipessoal, nos termos do art. 41 da Lei 14.195/2021, e o empresário a que se refere o art. 966 da Lei 10.406/2002 (Código Civil), incluído o Microempreendedor Individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123/2006;

 

III -startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar 182/2021; e

 

IV - zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Exceção - Tratamento de Alto Risco e Receita Bruta

 

Não poderão se beneficiar do tratamento jurídico diferenciado previsto no referido regulamento os agentes de tratamento de pequeno porte que:

  1. realizem tratamento de alto risco para os titulares, salvo se organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados (art. 8º da Resolução ANPD 02/2022);

  2. aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123/2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar 182/2021; ou

  3. pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item 2, conforme o caso.

Disponibilização das Informações sobre o Tratamento de Dados

 

De acordo com o art. 7º da Resolução ANPD 02/2022, os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio:

  • eletrônico;

  • impresso; ou

  • qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada, cujo modelo para o registro simplificado será fornecido pela ANPD.

 

Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD, mas em contrapartida, deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.

 

Prazos Diferenciados

 

De acordo com o art. 14 da Resolução ANPD 02/2022, aos agentes de tratamento de pequeno porte será concedido prazo em dobro:

I - no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;

II - na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;

III - no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;

IV - em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Os prazos não dispostos no regulamento para agentes de tratamento de pequeno porte serão determinados por regulamentação específica.

Nota: Os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada de que trata o art. 19, I, da LGPD no prazo de até 15 dias, contados da data do requerimento do titular.

 

JURISPRUDÊNCIA

 

Nota: tendo em vista a proteção prevista na LGPD, estamos abreviando o nome das partes nas jurisprudências colecionadas abaixo. Portanto, para utilizá-las em algum fundamento jurídico, é importante retirar a íntegra da ementa diretamente no site do respectivo Tribunal, utilizando-se do número do processo.

 

"RECURSO DE EMBARGOS. AÇÃO CIVIL PÚBLICA. EMPRESA DE GERENCIAMENTO DE RISCOS. 1. OBRIGAÇÃO DE NÃO FAZER. ABSTENÇÃO DE UTILIZAR BANCO DE DADOS, DE PRESTAR E/OU BUSCAR INFORMAÇÕES SOBRE RESTRIÇÕES CREDITÍCIAS RELATIVAS A MOTORISTAS DE CARGAS, CANDIDATOS A EMPREGO. 1.1. A Eg. 7ª Turma não conheceu do recurso de revista do Ministério Público do Trabalho. Concluiu que "a atividade de gerenciamento de riscos, amplamente considerada, tem lugar no mercado, com respaldo do ordenamento jurídico, o que reforça a impossibilidade de ser inviabilizada ou restringida pelo uso que se fará das informações prestadas". 1.2. A Constituição consagra o princípio da livre iniciativa (art. 170, parágrafo único, da CF), ressalvados os limites impostos pela ordem jurídica. Quanto ao tema, a jurisprudência desta Corte firmou-se no sentido de que as informações de cadastro de serviços de proteção ao crédito não podem ser exigidas de empregados e candidatos a emprego, por caracterizar vedada discriminação (art. 1º da Lei 9.029/95). 1.3. No que tange aos motoristas de transporte de cargas, dispõe o art. 13-A da Lei 11.442/2007, incluído pela Lei 13.103/2015, que "é vedada a utilização de informações de bancos de dados de proteção ao crédito como mecanismo de vedação de contrato com o TAC [transportador autônomo de cargas] e a ETC [empresa de transporte rodoviário de cargas] devidamente regulares para o exercício da atividade do Transporte Rodoviário de Cargas". 1.4. Poder-se-ia defender que a vedação é dirigida apenas ao empregador a quem se destina a informação prestada pela ré. Não obstante, ao incluir esse elemento como de risco ao contrato e repassá-lo inclusive à seguradora, há potencial infração à Lei. 1.5. Destaque-se que se discute tutela inibitória, de natureza preventiva, e que tem por escopo evitar a prática, repetição ou continuação do ilícito, do qual, potencialmente, surgirá o dano a direitos fundamentais. Aqui, examina-se a probabilidade de ilícito. O certo é que a "ratio" que inspira a jurisprudência, e agora a Lei, é que referido cadastro, ainda que público, destina-se à proteção do crédito a ser concedido por bancos, particulares e associações comerciais. Não deve ser usado para aferição da empregabilidade do motorista ou da probabilidade de que venha a subtrair as mercadorias transportadas. Se não há condenação por crimes contra o patrimônio (v.g. estelionato), não há motivos para questionar o caráter do simples devedor, cujas razões para a inadimplência fogem, no mais das vezes, ao seu controle. 1.6. Embora recente, e em bom momento, a Lei de Proteção de Dados (Lei 13.709/2018), em seu art. 6º, dispõe sobre as diretrizes para o tratamento de dados pessoais. "In verbis": "As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; [...] IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;". 1.7. Se se está diante de uma manipulação de dados pessoais tendente a gerar uma cadeia de quebra da isonomia e de discriminação (já repudiada no art. 1º da Lei 9.029/1995 e pela Convenção 111 da OIT), não há que se falar em prevalência do direito fundamental à livre iniciativa. No caso, a ré usa dado com fim diverso daquele para o qual foi criado, a fim de indicar ao empregador e à seguradora um maior risco na contratação ou na distribuição de serviços para determinado empregado. Culpar o empregador que acate o relatório como se ele fosse, sozinho, o violador da ordem constitucional é uma ficção. 1.8. Destarte, utilizar ou fazer utilizar o cadastro para qualquer outro fim que não a proteção ao fornecimento de crédito, salvo autorização em Lei, após a vigência da LGPD, é ilegal. Recurso de embargos conhecido e parcialmente provido. 2. INDENIZAÇÃO POR DANO MORAL COLETIVO. Tratando-se de lesão que viola bens jurídicos indiscutivelmente caros a toda a sociedade, surge o dever de indenizar, sendo cabível a reparação por dano moral coletivo (arts. 186 e 927 do CC e 3° e 13 da LACP). Recurso de embargos conhecido e parcialmente provido" (E-RR-933-49.2012.5.10.0001, Subseção I Especializada em Dissídios Individuais, Relator Ministro Alberto Luiz Bresciani de Fontan Pereira, DEJT 25/02/2022).

 

EMENTA. MANDADO DE SEGURANÇA. EXIBIÇÃO DE DOCUMENTOS. LGPD. (...). C. B. LTDA. impetra mandado de segurança, com pedido liminar, contra ato do Juízo da 4ª Vara do Trabalho de Taquara, consubstanciado em decisão proferida na Ação Cautelar de Exibição de Documentos nº 0020620-14.2020.5.04.0384 - ajuizada pelo Sindicato dos Trabalhadores nas Indústrias de Calçados de Parobé, ora litisconsorte -, com o seguinte teor: "Vistos. Considerando que a reclamada informa não possuir a informação de quais colaboradores se encontram na condição de aposentados, oficie-se requisitando apresentação da RAIS referente ao exercício 2020 dando-se posteriormente vista ao sindicato-requerente das informações obtidas, a fim de que requeira o que entender de direito e inclusive para que se requisite extrato da CNIS em relação aos empregados caso necessário obtenção de informações mais detalhadas sobre algum empregado específico, relativamente ao período mencionado na petição inicial. TAQUARA/RS, 18 de janeiro de 2021. CHARLES LOPES KUHN. Juiz do Trabalho Substituto". (ID. 037de1f). Alega a impetrante que o ato dito coator ofende direito líquido e certo, na medida em que desobrigada da apresentação anual da RAIS por força da Portaria 1.127/2019 da Secretaria Especial de Previdência e Trabalho do Ministério da Economia, diante do fato de que a prestação de informações sociais sobre seu quadro funcional passou a ser feita através do eSocial a partir de 2020, ano-calendário 2019. Acrescenta que a disponibilização de informações sobre os empregados, contidas no eSocial, afronta o disposto na Lei 13.709/2018 (Lei Geral de Proteção de Dados) e que a cláusula do acordo coletivo firmada com o sindicato e que embasa a pretensão probante não faz distinção entre empregados aposentados ou ativos que lhe prestam serviços. Aduz que as informações prestadas através do eSocial possuem abrangência maior que aquelas anteriormente inseridas na RAIS e que o sistema não possui funcionalidade que permita selecionar informações determinadas. Refere que, na condição de controladora dos dados dos empregados, nos termos da Lei 13.709/2018, detém responsabilidade jurídica sobre sua guarda e utilização, sendo necessário que os empregados, titulares das informações, autorizem o fornecimento a terceiros. Alega, ainda, que o Sindicato não demonstra minimamente a necessidade de exibição antecipada dos documentos com a finalidade de justificar ou evitar o ajuizamento futuro de ação trabalhista, não indicando nenhuma falta ou descumprimento da legislação pela impetrante. Pede, liminarmente, a suspensão dos efeitos da decisão impugnada e, ao final, sua cassação.  liminar foi indeferida em decisão proferida pelo Des. Carlos Alberto May. (...).  Inexiste direito líquido e certo a amparar a recusa e resistência da impetrante em apresentar a documentação vindicada pelo Sindicato litisconsorte nos autos da Ação Cautelar de Exibição de Documentos subjacente, com o escopo de averiguar o pagamento de salários a menor e subsidiar eventual ajuizamento de ação futura. Ao revés, a pretensão do Sindicato acolhida na decisão impugnada, em tese, encontra lastro legal nos artigos 381, III, do CPC - que admite a produção antecipada de prova quando o prévio conhecimento dos fatos possa justificar ou evitar o ajuizamento de ação -, 396 e seguintes do mesmo diploma legal - que regram a Exibição de Documento ou Coisa - e ainda nos artigos 7º, VI, e 11, II, 'd' da Lei nº. 13.709/2018. Ordem denegada, ratificando-se a liminar. (TRT da 4ª Região, 1ª Seção de Dissídios Individuais, 0020160-78.2021.5.04.0000 MSCIV, em 12/05/2021, Juiz Convocado Luis Carlos Pinto Gastal).
 

ACÓRDÃO. NÚMERO DE TELEFONE PARTICULAR DA EMPREGADA. DIVULGAÇÃO NO SITE DE VENDAS DO EMPREGADOR. INDENIZAÇÃO. DANO MORAL. CABIMENTO. (...). A sentença entendeu que houve desrespeito à Lei 13.709/2018, sob os seguintes fundamentos: "Ora, resta evidente que foram desrespeitadas a privacidade e a intimidade da autora, por meio de ato comissivo da empregadora de tornar público o número do telefone celular da empregada. A privacidade e a intimidade são direitos fundamentais do cidadão descritos no artigo 5º, X, da CF/88. Ainda, o inciso XII do artigo 5º da Constituição Federal protege o sigilo dos dados e da correspondência. Por oportuno, urge destacar a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), publicada em 15 de agosto de 2018 e que entrou em vigor no dia 18 de setembro de 2020, exceto os artigos atinentes às sanções administrativas. A LGPD é um marco no ordenamento jurídico brasileiro, pois representa uma regulamentação específica do tratamento de dados pessoais. É um diploma normativo de indiscutível transversalidade, pois afeta inúmeras relações jurídicas, dentre elas, as relações de trabalho. O artigo 1º da LGPD prevê, verbis: 'esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural'. A LGPD não possui normas próprias destinadas ao tratamento de dados na relação trabalhista, como ocorre no artigo 88 do GDPR (General Data Protection Regulation), que é a legislação europeia sobre o tratamento de dados pessoais. Porém, como já mencionado, é incontestável que as relações laborais devem observar as regras e princípios estampados na LGDP, afinal o empregador trata inúmeros dados pessoais de seus empregados, sendo muitos deles sensíveis, conforme conceito disposto no artigo 11 da LGPD. A LGPD entrou em vigor no dia 18/09/2020, a presente ação trabalhista foi distribuída no dia 22/09/2020 e, conforme fixado supra, o telefone pessoal da autora esteve na página virtual da "C.S.", pelo menos, de 10/06/2020 até o dia 14/10/2020. Segundo o inciso I do artigo 5º da LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Ou seja, é a informação que, de pronto, identifique a pessoa, a exemplo do nome, ou que possa identificá-la, como a filiação. Neste sentido, o número de telefone celular da autora é um dado pessoal, nos termos da LGPD. Assim, o empregador, ao publicizar o telefone pessoal da autora em sua página virtual visando à vendas de seus produtos, desrespeitou a Lei nº 13.709/2018, vez que tratou dado pessoal da autora sem base legal, enumerados nos artigos 7 e 11 da LGPD, e em inobservância aos princípios esposados no artigo 6º da LGPD, além da boa-fé." (ID. 812e794 - Págs. 9/10). (...).  A caracterização do dano moral pressupõe violação à dignidade pessoal - art. 1º, III da Constituição Federal -, mediante vulneração da integridade psíquica ou física da pessoa, bem como aos direitos fundamentais previstos na Constituição da República. E o art. 5º, X, da CR/88 prevê que "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação". A inserção do número de telefone do empregado, no site da empresa, sem prova inequívoca de autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Configurados os elementos essenciais ao dever de indenizar (ato ilícito, dano e nexo de causalidade) em relação ao direito à privacidade, correta a condenação da empregadora. (TRT da 3.ª Região; PJe: 0010337-16.2020.5.03.0074 (RO); Disponibilização: 10/06/2021, DEJT/TRT3/Cad.Jud, Página 2011; Órgão Julgador: Nona Turma; Redator: Convocado Ricardo Marcelo Silva).

 

SENTENÇA. FUNDAMENTAÇÃO. ART. 5º, I, LEI 13709/2018. Para conferir tratamento adequado aos dados pessoais que permitam a identificação do reclamante e outras pessoas físicas (art. 5º, I, Lei 13709/2018 - “LGPD”), o nome das partes e testemunhas serão abreviados.  (TRT2, 10ª Vara do Trabalho de São Paulo - Zona Sul. Processo ATOrd 1001267-51.2019.5.02.0710. Reclamante: R. P. DE S. Reclamada: V. S. de L. LTDA e C. V. de P. Juiz(a) do Trabalho Substituto(a) Aline Bastos Meireles Mandarino. SAO PAULO/SP, 19 de agosto de 2021).

 

ACÓRDÃO. MANDADO DE SEGURANÇA. SEGREDO DE JUSTIÇA. LGPD. (...). I RELATÓRIO. Trata-se de mandado de segurança, com pedido liminar, impetrado por R. V. V. em face de ATO DO MM. JUÍZO DA 04ª VARA DO TRABALHO DE SÃO PAULO - ZONA SUL que indeferiu a tramitação dos autos principais em segredo de justiça. (...). II - VOTO. Insurge-se, a impetrante, em face de ato do MM. Juízo da 4ª Vara do Trabalho de São Paulo - Zona Sul, que indeferiu a tramitação dos autos principais em segredo de justiça. Argumenta, em suma, que "está encontrando dificuldades de conseguir oportunidades para se recolocar no mercado de trabalho, pois, ao realizar simples procura através de site de pesquisa como Google, o seu nome se encontra atrelado à reclamação trabalhista mencionada" (ID 45b4b16 - pág. 3). Aduz, ainda, que "é a titular dos dados que constam no processo de origem, sendo, portanto, assegurado o direito de requerer a qualquer tempo a ocultação dos dados nos termos do artigo 18, inciso IV, da lei 13.709/18" (ID 45b4b16 - pág. 5). Requer, por conseguinte, que seja atribuído sigilo ao processo nº 1000788-76.2019.5.02.0704. Examina-se. Ab initio, importante destacar que o princípio da publicidade dos atos processuais encontra-se consagrado no artigo 93, IX, da CF, o qual dispõe que "todos os julgamentos dos órgãos do Poder Judiciário serão públicos, e fundamentadas todas as decisões, sob pena de nulidade, podendo a lei limitar a presença, em determinados atos, às próprias partes e a seus advogados, ou somente a estes, em casos nos quais a preservação do direito à intimidade do interessado no sigilo não prejudique o interesse público à informação" (g.n.). De igual modo, o artigo 5º, LX, da CF prevê que "a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse social o exigirem". (...). Na hipótese dos autos, entretanto, a simples alegação da impetrante de que haveria risco de ser inserida nas intituladas black lists de empresas, em razão do trâmite público dos autos principais, não se enquadra em qualquer das hipóteses estabelecidas pela legislação, o que obsta, por si só, o acolhimento da insurgência veiculada no presente mandamus. (...). Entendimento diverso implicaria reconhecer a necessidade de atribuição de sigilo a todos os processos ajuizados por trabalhadores nesta Justiça Especial em nítida violação ao princípio da publicidade (CF, artigo 93, IX) e aos dispositivos suso mencionados. Registre-se, ademais, que o artigo 7º, VI, da Lei nº 13.709/2018 (Lei de Proteção de Dados Pessoais - LGPD) estabelece, expressamente, a possibilidade de tratamento de dados pessoais "para o exercício regular de direitos em processo judicial", de modo que a previsão contida no artigo 18, IV, do referido diploma, quanto à "anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei", não acarreta os efeitos pretendidos pela impetrante, tampouco lhe confere o direito à tramitação do feito em segredo de justiça. Deveras, o tratamento das informações da trabalhadora, nos autos em epígrafe, é realizado com o único objetivo de prestar a tutela jurisdicional por ela vindicada, à luz dos princípios da finalidade, da adequação, da necessidade, da transparência e da boa-fé (artigos 6º, I, II, III e VI e 7º, § 3º, da LGPD). Diante do exposto, não se vislumbrando direito líquido e certo da impetrante, revela-se improsperável a segurança vindicada, nos termos da Lei nº 12.016/2009. (...). III - DISPOSITIVO ANTE O EXPOSTO, ACORDAM os Magistrados da 2ª Seção de Dissídios Individuais do Tribunal Regional do Trabalho a 2ª Região em por unanimidade de votos, DENEGAR A SEGURANÇA, tudo nos termos da fundamentação do voto do Relator. Custas pela impetrante, no importe de R$ 20,00, calculadas sobre o valor atribuído à causa, de R$ 1.000,00 (ID 45b4b16 - pág. 18), de cujo recolhimento fica isenta, por ser beneficiária da Justiça Gratuita (ID 24adfd7 - pág. 41). (TRT da 2ª Região; Processo: 1001177-68.2021.5.02.0000; Órgão Julgador: SDI-2 - Cadeira 9 - Seção Especializada em Dissídios Individuais - 2; Relator(a): MARCOS CESAR AMADOR ALVES. Data: 05-08-2021).

 

"RECURSO ORDINÁRIO EM MANDADO DE SEGURANÇA. INDEFERIMENTO DO PEDIDO DE TRAMITAÇÃO DA AÇÃO CIVIL PÚBLICA ORIGINÁRIA EM SEGREDO DE JUSTIÇA. DOCUMENTOS CONFIDENCIAIS DA IMPETRANTE ANEXADOS AO PROCESSO MATRIZ. NÃO COMPROVAÇÃO. PRETENSÃO GENÉRICA. INCIDÊNCIA DA DIRETRIZ CONSAGRADA NA OJ 144 DA SBDI-2. 1. Cuida-se de mandado de segurança no qual se postula a concessão da ordem para se determinar que a ação civil pública ajuizada pelo Parquet contra a Impetrante, na origem, tramite em segredo de justiça. (...) A simples alegação de que a divulgação da existência de ação civil pública, que investiga irregularidades trabalhistas supostamente praticados pela empresa, causará prejuízos à imagem da Impetrante não justifica a necessidade de decretação de sigilo do processo matriz. A impetrante não apresenta provas concretas que apontem a iminência de veiculação de informações confidenciais da empresa. 6. Desse modo, não demonstrado pela Impetrante seu direito líquido e certo ao afastamento, no caso, da regra geral de publicidade dos atos processuais (art. 189, caput, do CPC de 2015) e diante da não comprovação da existência de documentos confidenciais anexados ao processo matriz, mostra-se inviável a concessão de segurança. (...) Recurso ordinário conhecido e não provido" (RO-21961-34.2018.5.04.0000, Subseção II Especializada em Dissídios Individuais, Relator Ministro Douglas Alencar Rodrigues, DEJT 28/10/2019 - g.n.).

 

Base legal: Lei 13.709/2018 e as mencionadas no texto.

Enviar esta postagem

Comentários

Postar um comentário

Postagens mais visitadas