Demissões por justa causa e LGPD: discussões vêm por aí
Uso indevido de dados pessoais por empregados pode render dispensas e questionamentos
A se tomar pelo estágio ainda inicial de adaptação da maioria das empresas brasileiras à Lei Geral de Proteção de Dados (LGPD), as demissões por justa causa de funcionários que usaram de forma indevida os dados pessoais de clientes podem gerar mais discussões. Nessas situações, cabe à empresa comprovar o uso indevido por parte do colaborador, mas também cabe ao empregador treiná-lo e estabelecer políticas internas de proteção de dados pessoais.
As demissões por justa causa relacionadas ao uso indevido de dados pessoais ainda são pouco comuns dada a novidade do assunto, mas a expectativa é que os questionamentos aumentem. Rodrigo Pinheiro, sócio do Nankran Mourão Brito Massoli, avalia que os empregadores ainda não têm referências legais mais concretas para esse tipo de demissão, uma vez que a aplicação da lei ainda necessita de maturação, mas que esta deverá vir à medida que avisos orientativos da ANPD forem circulados e decisões do Judiciário, publicadas.
“De forma similar ao que ocorreu em outros países, e conforme as empresas passem a ser efetivamente fiscalizadas em relação ao cumprimento das exigências da LGPD, o assunto deve começar a aparecer com mais frequência nas discussões do Poder Judiciário e de outros entes administrativos”, consideram Flavia Meleras e Renato Rossi Filho, consultora e associado do Vieira Rezende Advogados.
Um dos desafios que as empresas vêm enfrentando com relação aos colaboradores é a efetiva e correta assimilação dos conceitos de privacidade, consideram os advogados do Vieira Rezende: “O programa de adequação às disposições da LGPD não pode se restringir à criação de políticas e documentos somente no papel”. Eles ressaltam a importância da realização de treinamentos periódicos sobre privacidade, proteção de dados e segurança da informação aos colaboradores, de forma que estes possam trabalhar em conformidade com a lei e as políticas internas da empresa.
Aos poucos, o entendimento da LGPD e a regulamentação vêm evoluindo. Um passo importante nesse sentido é esperado para este mês, com a publicação da norma da Autoridade Nacional de Proteção de Dados (ANPD) sobre a dosimetria das penas por descumprimento da lei.
Na entrevista abaixo, Pinheiro, Meleras e Rossi Filho abordam demissões por justa causa por uso indevido de dados pessoais.
– Quão comuns têm sido as demissões por justa causa decorrentes do uso indevido de dados pessoais dos clientes das empresas em que trabalhavam?
Flavia Meleras e Renato Rossi Filho: Não há uma estatística oficial e pública sobre o número de demissões por justa causa relacionadas ao tratamento irregular de dados pessoais. A demissão em decorrência do tratamento irregular de dados pessoais, em desconformidade com a Lei Geral de Proteção de Dados (LGPD) e com as políticas internas da empresa, pode ser considerada uma falta grave do empregado e ensejar a dispensa por justa causa.
Sobre este tema, recentemente, foi divulgado um caso em que a 1ª Turma do Tribunal Regional do Trabalho da 2ª Região manteve a sentença proferida em 1ª instância, que considerou lícita a demissão por justa causa aplicada a um atendente de telemarketing que enviou para seu e-mail pessoal uma lista com dados pessoais de clientes de uma empresa para a qual prestava serviços.
De forma similar ao que ocorreu em outros países, e conforme as empresas passem a ser efetivamente fiscalizadas em relação ao cumprimento das exigências da LGPD, o assunto deve começar a aparecer com mais frequência nas discussões do Poder Judiciário e de outros entes administrativos.
Rodrigo Pinheiro: Considerando que o tema “tratamento de dados pessoais” ainda é matéria recente para a sociedade e no próprio ordenamento, ainda não são muito comuns as demissões por justa causa em razão do uso indevido de informações pessoais. Tal fato ocorre muito em razão desse cenário ainda “desconhecido”, e em razão de o empregador ainda não ter referências legais mais concretas para a prática do ato, já que a própria legislação ainda necessita de mais maturação para sua aplicação. Tal maturação somente ocorrerá com o passar do tempo, à medida que expedições de avisos orientativos da ANPD forem circulados e decisões do Judiciário, publicadas.
Qual é o impacto que o uso indevido de dados pessoais dos clientes podem ter para as empresas?
Flavia Meleras e Renato Rossi Filho: O descumprimento da LGPD e demais normas sobre a proteção de dados pessoais pode trazer diversas consequências para as empresas. Alguns exemplos que podemos mencionar, são: a aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que podem significar desde uma a advertência até a aplicação de multa no valor máximo de cinquenta milhões de reais; demandas perante o Poder Judiciário iniciadas por clientes, fornecedores, colaboradores e demais terceiros envolvidos sobre o tratamento irregular de dados pessoais. Este questionamento pode ser feito também junto a outras entidades administrativas, como o Procon ou a Secretaria Nacional do Consumidor (Senacon).
Tão importante quanto os impactos elencados acima é o dano reputacional para uma empresa que realize o tratamento de dados pessoais de maneira irregular ou sofra um incidente de segurança envolvendo dados pessoais. Atualmente, com a digitalização da economia e um fluxo de dados pessoais cada vez maior entre as empresas e consumidores, a notícia da ocorrência de, por exemplo, um incidente de segurança que tenha decorrido de um tratamento de dados pessoais irregular ou por falta de adoção de padrões mínimos de segurança pela empresa poderá afetar a sua credibilidade frente a consumidores, fornecedores e parceiros de negócios, entre outros.
Rodrigo Pinheiro: O uso indevido de dados pessoais, além de poder trazer uma desvalorização da marca exposta no mercado – a empresa pode ser considerada como uma empresa que não está em conformidade com a lei –, poderá trazer prejuízos diretos como, a título de exemplo, a aplicação das sanções listadas no artigo 52, dentre as quais se encontra a multa de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração.
– No que consiste a política interna de proteção de dados e qual a importância de sua adoção por parte das empresas?
Flavia Meleras e Renato Rossi Filho: A política interna de proteção de dados pessoais é o documento que trará as regras que os colaboradores, fornecedores e demais terceiros envolvidos no tratamento de dados pessoais em nome da empresa deverão observar. Da mesma forma, a política poderá estruturar procedimentos para garantir um tratamento de dados pessoais seguro e de acordo com a legislação aplicável. A boa prática recomenda a criação de uma única política interna de privacidade geral que aborde o assunto além da política de proteção de dados voltada ao público externo.
A estruturação dessa política é um dos elementos essenciais de um programa de governança em privacidade, assim como o treinamento dos colaboradores para a efetiva assimilação e conhecimento do teor do documento pelos colaboradores.
Rodrigo Pinheiro: A política interna de dados pessoais consiste em um documento interno da entidade que trata sobre as diretrizes de como devem ser feitos os tratamentos de dados pessoais pelos empregados e colaboradores. A importância desse documento está no fato de ele ser um verdadeiro guia orientativo, para os membros da empresa, impondo verdadeiras obrigações a serem observadas. Vale dizer que a LGPD incentiva a adoção de política de boas práticas e governança, de modo que, nesse contexto, a adoção de tal documento serve como elemento a ser mensurado pelo órgão sancionador quando da aplicação de sanções.
– De forma geral, como as empresas brasileiras estão se saindo no que diz respeito ao treinamento dos funcionários sobre as questões relacionadas à proteção de dados pessoais? Quais desafios elas têm enfrentado?
Flavia Meleras e Renato Rossi Filho: É difícil generalizar a situação das empresas no Brasil em relação à realização de treinamentos dentro de um programa adequação à LGDP, pois diversas questões – como o setor de atuação, a disponibilidade de recursos e a situação econômica que ela enfrentou desde o início da vigência da legislação –, influenciaram muito o cronograma de seus projetos de adequação. Como parâmetro, podemos citar algumas pesquisas independentes, como aquela realizada pela consultoria Daryus ao final de 2022, que indicou que apenas 20% das empresas concluíram seu programa de adequação à LGPD.
Sobre a situação das empresas que iniciaram seus projetos, ainda existem muitos desafios a serem superados. No contexto da relação entre a empresa e os seus colaboradores, a efetiva e correta assimilação dos conceitos de privacidade por parte dos colaboradores é um dos desafios mais importantes. O programa de adequação às disposições da LGPD não pode se restringir à criação de políticas e documentos somente no papel. É importante que sejam realizados treinamentos periódicos sobre privacidade, proteção de dados e segurança da informação aos colaboradores, para que estes desempenhem suas atividades profissionais que envolvam o tratamento de dados pessoais em conformidade com as exigências da legislação e das políticas internas da empresa.
Rodrigo Pinheiro: Desde 2022, tem se notado um forte movimento de adequação das empresas à LGPD. No entanto, o maior desafio é a falta de entendimento sobre o tema, ainda muito novo no Brasil, e a ausência de uma cultura mais consolidada acerca da importância de os colaboradores atentarem para a importância do tratamento de dados. Por isso, os treinamentos e a consolidação de uma cultura mais sólida sobre o tratamento ainda se encontram em fase bastante inicial.