Após uma série de adiamentos, em setembro de 2020, finalmente entrou em vigor a Lei Geral de Proteção de Dados – LGPD (Lei Federal nº 13.409/2018), que estabeleceu regras e princípios sobre quaisquer operações que envolvam dados pessoais, sejam elas em meios físicos ou digitais, com o objetivo de proteger os direitos fundamentais dos titulares, em especial suas liberdades individuais e privacidade.
Dentre suas disposições, a Lei qualifica as figuras dos agentes de tratamento, quais sejam, o controlador e o operador. O controlador é conceituado como a pessoa a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, como aquele realiza o tratamento em nome do controlador.
Trata-se de distinção especialmente importante, em particular no que diz respeito às atribuições e responsabilidades, na medida em que o art. 42 da LGPD estipula que controlador e operador serão responsabilizados por eventuais violações de dados, respondendo o operador solidariamente caso não observe a legislação, ou ainda quando agir fora das instruções do controlador.
A partir daqui, é oportuno avaliar essa relação sob o viés da relação empregado e empregador, definida pela Consolidação das Leis do Trabalho – CLT (Decreto Lei nº 5.452/1943). Entende-se como empregado toda pessoa física que prestar serviços de natureza não eventual a empregador, sob sua subordinação, mediante remuneração; e, como empregador, todo aquele que, assumindo os riscos da atividade, admite, assalaria e dirige a referida prestação pessoal de serviços (art. 2º e 3°, respectivamente, CLT).
Por serem de naturezas distintas, a relação empregado X empregador pressupõe aspectos diferentes para a responsabilização, nos termos do art. 462, caput e §1º, da CLT.
No âmbito dessas duas relações, contudo, pode ocorrer a intersecção de atividades, ocasionando confusão na definição de sujeitos e responsabilidades, cujos efeitos e entendimentos serão abordados a seguir.
Inicialmente, precisa-se superar a seguinte questão: pode o empregado ser considerado como um agente de tratamento, notadamente como um processador de dados pessoais?
Diferentemente da legislação brasileira, que o optou por trazer apenas dois sujeitos como agentes de tratamento, o Regulamento Geral de Proteção de Dados – RGPD, também chamado de GDPR, que regulamenta a questão na Área Econômica Europeia – AEE, resolveu a questão ao elencar e definir outros sujeitos na cadeia de tratamento de dados. São eles o controlador; o processador – o qual denominamos de operador –; o destinatário; o terceiro; e o subcontratante.
Nesse cenário, o subcontratante é conceituado como “(…) uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes” (art. 4º, 8, RGPD). Dentro desse contexto, pode-se dizer que os empregados, tanto dos controladores ou processadores, serão considerados subcontratantes, submetendo-se a regras especificas e inerentes a estes.
Fato é que determinadas categorias de empregados realizam o tratamento de dados pessoais, sendo, pois, agentes de tratamento. Considerar de outra forma seria colocar o empregado em um limbo jurídico diante de sua situação fática na organização e tratamento de dados.
Podemos imaginar, a título exemplificativo, um empregado administrativo que manuseia documentos que contêm nomes, salário, cargo, horas trabalhadas etc., com a finalidade de elaborar a folha de pagamento e recolher respectivos encargos sociais (elaborar GFIP, e-Social etc). Ocorre o mesmo com um suposto empregado da manutenção, o qual, no exercício de suas atribuições, elabora e arquiva ordens de serviço que contêm dados de identificação e assinatura dos solicitantes. Em ambos os casos, os empregados atuam no tratamento de dados pessoais, qualidade que não pode ser ignorada.
Quanto a sua caracterização, o empregado não realiza o tratamento em nome próprio, tampouco possui os meios ou a titularidade sobre a orientação do negócio, de modo que não poderia ser considerado como controlador, cuja principal característica é justamente decidir as questões referentes ao tratamento de dados pessoais (art. 5º, VI, LGPD).
Nesse sentido, o conceito de operador acomoda muito melhor o sujeito em questão, conforme comparação abaixo:
Operador (LGPD) – Art. 5º (…) VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; (Grifos nossos
Empregado (CLT) – Art. 3º – Considera-se empregado toda pessoa física que prestar serviços de natureza não eventual a empregador, sob a dependência deste e mediante salário. (Grifos nossos)
Ou seja, há quase um espelhamento de parte dos conceitos, podendo-se concluir que o melhor enquadramento do empregado dentro da legislação de proteção de dados brasileira é na qualidade de operador.
Diferentemente ocorre com os agentes que, mesmo dentro da organização empresarial, e quando não forem pessoa física, possuírem a faculdade de determinar as diretrizes dos negócios e do tratamento de dados, tais como os administradores.
Nesses casos, os sócios ou administradores devem ser equiparados a controladores, mesmo não se confundindo ordinariamente com a pessoa jurídica que representam. Corrobora com esse argumento o fato de que a Lei Geral de Proteção de Dados apenas colocou o poder de decidir quanto às questões referentes ao tratamento como condição para determinar a caracterização do controlador, independentemente de sua posição organizacional.
Analogicamente, o Tribunal de Justiça do Distrito Federal e dos Territórios – TJDFT, por meio da Resolução 9 de 02 de setembro de 2020, adotou um entendimento semelhante, com a seguinte redação:
Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.
§ 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.
§ 2º O Comitê será formado por equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
Aqueles no topo da hierarquia do órgão (presidente, vice-presidente e corregedor) são considerados como controladores justamente por terem a possibilidade de, ainda que de forma limitada, decidir sobre o tratamento de dados. Por sua vez, os demais servidores e terceiros são considerados como operadores, justamente por realizarem as operações de tratamento em nome do Tribunal de Justiça.
Superada essa primeira questão, cabe definir o regime de responsabilização do empregado frente aos incidentes e violações envolvendo dados pessoais.
Como ponto de partida e regra geral, a legislação trabalhista determina que o empregador deve arcar com os riscos da operação, inclusive aqueles decorrentes das relações trabalhistas sobre sua dependência. Trata-se do chamado princípio da alteridade: se por um lado cabe ao empregador determinar os rumos e diretrizes da operação; por outro, deve ele arcar com as eventuais consequências de suas determinações.
Nesse sentido, sob a ótica tradicional, a imputação de responsabilidade por dano causado pelo empregado é limitada, podendo ocorrer apenas em hipóteses específicas, quais sejam: caso caracterizado o dolo do empregado; ou desde que esta possibilidade tenha sido acordada.
Lembramos que, nessa última hipótese, não é qualquer avença que enseja a responsabilização ou desconto, devendo ser legítimo e, em hipótese alguma, deve transferir os encargos do risco operacional ao empregado, sob pena de violar o próprio princípio da alteridade.
Já sob a ótica de proteção de dado pessoais, o regime de responsabilização segue uma lógica diferente. Nos termos do art. 42 da LGPD, ambos os agentes de tratamento são responsabilizáveis quando ocorrerem violações, sendo que os operadores são solidariamente responsáveis e, portanto, equiparados a controladores quando descumprirem as obrigações da legislação de proteção de dados ou não seguirem as instruções do controlador.
Porém, as diferenças nesses parâmetros podem acarretar confusão na aplicação da lei ao caso concreto, havendo dificuldade em determinar qual o regime aplicável.
Imagine que um analista de crédito de uma determinada instituição financeira, durante um atendimento, ignorando determinados procedimentos internos, mas sem a intenção de obter vantagem indevida, passa equivocadamente informações pessoais de um cliente a um terceiro, procedimento que, viu-se posteriormente, levou à utilização de tais dados para manejar fraude em uma transação, causando gigantescos prejuízos.
Na situação citada, dependendo do regime de responsabilização adotado, poder-se-ia chegar a pontos diferentes:
a. Caso se adote a visão trabalhista tradicional, o empregado não poderia ser diretamente responsabilizado, visto que não agiu com dolo, bem como só poderia ser despedido por justa causa caso comprovado elevado grau de desídia; e
b. Caso se adote a LGPD como paradigma para responsabilização, o empregado, na qualidade de operador de dados, deveria responder solidariamente por todos os prejuízos, inclusive figurando como parte em eventual ação visando a reparação por perdas e danos.
Ou seja, verifica-se, do ponto de vista prático, que são interpretações que colocam o empregado em posições opostas, em situação ou protetiva ou exposta.
De um lado, poder-se-ia argumentar que a LGPD revogou o antigo entendimento, visto que se trata de lei nova. Dessa forma, nas hipóteses em que existe a questão de proteção de dados, a LGPD deveria reger as novas relações jurídicas. Contudo, não é esse o entendimento que se expressa no presente artigo.
Por meio da LGPD, o legislador reconheceu a proteção de dados como um subsistema próprio dentro do ordenamento jurídico. Neste microssistema, vislumbram-se a aplicação de normas gerais e específicas, assim como a sua harmonização com o próprio sistema jurídico. Isso se torna especialmente importante quando avaliamos a própria LGPD, a qual, diferentemente da maioria das leis, não revogou expressamente qualquer outra normativa.
Portanto, dentro do subsistema de proteção de dados, deve-se aplicar, respeitadas as normas gerais de direito, a legislação trabalhista, caso identificada antinomia, visto que essa é norma especial; e aquela, geral (princípio da especialidade).
Ademais, haveria também a responsabilidade do empregador em razão da escolha e fiscalização dos empregados, as quais são típicas das relações de emprego (culpa in vigilando e in eligendo). Dessa forma, ao adotar a LGPD e, assim, colocando o empregado na “linha de frente” da responsabilização, haveria uma transferência indevida dos riscos do negócio, em afronta à alteridade.
Pode-se argumentar também que, diante de uma interpretação teleológica, a previsão em questão é mais aplicável a relações que não envolvam uma relação de subordinação propriamente dita, tal como no caso entre fornecedores.
Nesse sentido, o empregado, apesar de se encaixar como agente de tratamento, deixa de ser um simples operador para ter um tratamento mais qualificado.
Diante de todo o colocado, conclui-se que o empregado é um operador de dados pessoais, nos termos da Lei Geral de Proteção de Dados. Contudo, deve ser considerado de forma especial, observando a legislação trabalhista à qual está submetido, podendo ser considerado como um operador sui generis.
* Gustavo Fiuza Quedevez e André Simoni
Fonte: administradores.com