LGPD e as principais dúvidas dos empresários
I – Quais as dúvidas dos empresários relacionadas à LGPD?
Todas as empresas, independentemente de porte, tamanho e segmento, precisam se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709/18 -, que está em vigor no Brasil.
A primeira pergunta que os empresários realizam é: -Afinal, o que significa estar adequado à LGPD? O segundo questionamento, após a compreensão do tema, é: -O que acontecerá com o meu estabelecimento se eu não me adequar à lei? A terceira indagação é: -Existem casos concretos de organizações punidas por descumprimento ou inadequação à GPD?
As questões são pertinentes e serão explicadas a seguir, em linguagem singela, sem técnica jurídica, para a compreensão do tema pelo leigo.
II – O que significa estar adequado ou em conformidade à LGPD?
Estar adequado à LGPD significa utilizar dados pessoais de forma lícita dentro da empresa.
Em resumo, o uso dos dados pessoais deverá sempre ser realizado obedecendo, no mínimo, aos princípios da necessidade (a empresa somente pode usar dados necessários ao desenvolvimento do seu negócio), finalidade (os dados devem ser usados para uma finalidade específica) e transparência (as empresas devem informar aos titulares dos dados como utilizam os dados pessoais tratados.
Exemplo clássico está relacionado ao uso de dados pessoais de funcionários. Não é preciso autorização para tratar (usar) os dados, pois a utilização está fundamentada no contrato de trabalho. Nesse caso, o usos de dados é necessário para a empresa desenvolver a sua atividade; além disso, o uso dos dados tem uma finalidade específica (cumprir o contrato de trabalho); por fim, o funcionário deve ser informado, com transparência (clareza), sobre como os seus dados são usados dentro da organização.
Se os dados forem usados para outras finalidades não autorizadas pela lei, sem obedecer ao tripé “necessidade-finalidade-transparência”, que são os principais princípios da LGPD, o tratamento de dados pessoais poderá ser considerado ilícito, trazendo consequências.
Então, de forma resumida, estar em conformidade com a LGPD é organizar o fluxo dos dados pessoais dentro da empresa, mantendo apenas os dados necessários para o desempenho das atividades e eliminando informações pessoais não essenciais, que formam o chamado passivo de dados que, na maioria das vezes, passa despercebido, sendo bastante comum o armazenamento de dados pessoais desnecessários, que poderá causar problemas legais.
Para chegar ao tratamento lícito de dados e à adequação da empresa à LGPD, é preciso realizar um diagnóstico de como a empresa se encontra do ponto de vista do tratamento de dados pessoais. É necessário “arrumar a casa”, e isso acontece através do que se chama de Projeto de Implementação da LGPD, que tem início, meio e fim, cujo custo e tempo dependerão das peculiaridades de cada empresa.
III – Quais as consequências da não adequação da empresa à LGPD?
Como os titulares dos dados pessoais passaram a ter direitos, o uso de dados pessoais de forma desorganizada e ilícita (sem necessidade, finalidade e transparência) e a não adequação das empresas à lei de dados podem acarretar responsabilidade empresarial na esfera judicial e/ou administrativa.
A responsabilidade na esfera judicial acontecerá se o titular dos dados pessoais utilizados ilicitamente ajuizar ação judicial buscando reparação por danos materiais e morais pelo uso indevido dos seus dados pessoais. Também podem ser ajuizadas ações judiciais por órgãos de defesa do consumidor, Ministério Público, sindicatos, etc.
Por outro lado, a empresa poderá ser autuada e punida pela ANPD, órgão fiscalizador do cumprimento da LGPD na esfera administrativa, que poderá aplicar sanções (independentemente de eventual condenação na esfera judicial), como, por exemplo, advertência, multa de 2% do faturamento do exercício anterior e suspensão do tratamento de dados, dentre outras previstas no art. 52 da LGPD.
IV – Consequências da inadequação das empresas à LGPD: casos jurídicos
Em 2021, aproximadamente 600 ações judiciais envolveram o tema LGPD. Serão abordados neste ensaio apenas dois casos para compreensão de como o Poder Judiciário vem se posicionado sobre o assunto.
IV.a – Caso 1: Nulidade de justa causa em ação trabalhista
Um caso envolvendo o tratamento indevido de dados pessoais aconteceu em ação trabalhista.
Em resumo, o funcionário foi demitido por justa causa com base em embriaguez habitual, pois flagrado em serviço através de teste de etilômetro. Foi reconhecido, dentre outas questões, que não houve prova da embriaguez, e que o “dado relativo ao consumo de bebida alcoólica” é dado pessoal, de saúde, de categoria sensível do trabalhador, inexistindo necessidade de realização do exame etílico para a função por ele exercida, de “auxiliar de carga e descarga”. Ou seja, a empresa foi condenada ao pagamento de indenização por danos morais no valor de R$ 5.000,00 (cinco mil reais) por uso indevido de dados.
Ademais, foi declarada a nulidade da justa causa e duas empresas que formavam grupo econômico foram condenadas às verbas rescisórias, pois o dado tratado não era essencial (necessário), já que não exercia o trabalhador a atividade de motorista profissional e tampouco função que poderia expor a vida de alguém a perigo.
Está expresso na sentença: “após a vigência da Lei Geral de Proteção de Dados (Lei 13709/2018), a empresa só pode realizar exame etílico no empregado sem o seu consentimento (c.1) se tratar-se de motorista profissional (artigo 168, § 6º, da CLT) ou de trabalhador que, caso exerça sua atividade embriagado, coloque em risco a própria saúde ou de terceiros, em razão do princípio da necessidade (artigo 6º, III, e artigo 11, II, e, da Lei 13709/2018); (c.2) se ele for informado explicitamente sobre qual é a finalidade da realização do exame (artigo 6º, I, da Lei 13709/2018); (c.3) nos casos do artigo 11 da Lei 13709/2018, requisitos esses (c.1, c.2 e c.3) que devem ser observados cumulativamente”. (Fonte: Processo nº 0024177-39.2021.5.24.0021, TRT 24ª Região, 1ª Vara do Trabalho de Dourados).
IV.b – Caso 2: Cooperativa condenada a se adequar à LGPD, sob pena de multa
Num outro caso, um sindicato ajuizou ação judicial contra uma cooperativa alegando descumprimento sistemático relativo à proteção de dados dos trabalhadores. Foi alegado que a empresa compartilhava dados pessoais de funcionários com diversos outros controladores e operadores, sem as cautelas necessárias.
A empresa foi condenada a nomear um “encarregado de dados”, conforme art. 41 da LGPD, e a realizar a adequação à LGPD no que diz respeito às práticas relacionadas à segurança e ao sigilo de dados dos funcionários no prazo de 90 dias, sob pena de multa diária (Fonte: Ação Civil Pública nº 0020043-80.2021.5.04.0261, TRT da 4ª Região - Vara do Trabalho de Montenegro).
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV
