Em recente decisão, o Tribunal Regional do Trabalho da 2ª Região (SP) confirmou a rescisão do contrato de trabalho, por justa causa, de um trabalhador que encaminhou, para o seu e-mail pessoal, informações da empresa que continham dados pessoais.

Trata-se de um importante precedente, que se encontra na linha do que o Tribunal Superior do Trabalho – TST decidiu no ano passado, ao entender que uma bancária, com 25 anos de serviço, ao enviar dados de clientes do banco para o seu e-mail pessoal, contrariou norma interna da empresa e incorreu em ato de improbidade, o que rompe o laço de confiança necessário para a continuidade da relação laboral.

A decisão do TRT-SP teve grande repercussão por mencionar expressamente a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018). O Tribunal afastou expressamente a exigência de demonstração do dolo do empregado para justificar a justa causa.

Este entendimento reflete o regime jurídico da proteção de dados pessoais – basta a realização do tratamento de dados em desconformidade com a LGPD para que se configure um incidente de segurança. A empresa responde por este incidente, perante a Autoridade Nacional de Proteção de Dados – ANPD e os titulares dos dados, de modo que ela precisa acionar o plano de resposta a incidente de segurança com dados pessoais e, neste plano, precisa estar prevista a apuração e a responsabilização do colaborador faltoso, para que ela possa minorar ou eventualmente obter isenção da aplicação das penalidades.

Assim, a insistência do trabalhador em fazer prova de que não transmitiu os dados a terceiros foi considerada irrelevante.

Contudo, para efeito de responsabilidade perante a ANPD, interessaria à empresa demonstrar que as informações não extravasaram do e-mail do seu colaborador, uma vez que tal circunstância influencia a extensão do dano ou do risco de dano, com reflexos diretos na dimensão da sanção a ser aplicada.

É dever da empresa instituir medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e situações acidentais ou ilícitas de uso inadequado (art. 46 da LGPD).

Para proteger os dados, a empresa deve instituir normas e boas práticas para tratamento de dados pelos seus colaboradores. Tais normas devem implementar os princípios da proteção de dados pessoais, para que possa a empresa demonstrar a boa fé, a transparência, a prevenção e cumprir o accoutability.  

Em geral as empresas aditam o contrato de trabalho com um termo de confidencialidade sobre dados pessoais assinado pelo empregado. Mas o treinamento dos colaboradores é medida administrativa fundamental para se alcançar o objetivo de tratamento de dados em conformidade com a LGPD. 

A exigência de eficácia das medidas a serem adotadas - decorrência do princípio do privacy by design – torna insuficiente a mera assinatura daquele termo de confidencialidade, sendo imperiosos treinamento e conscientização dos empregados quanto às suas responsabilidades e às obrigações legais.

A incapacidade da empresa em demonstrar que efetivamente treinou o colaborador para lidar adequadamente com dados pessoais aumenta o seu grau de responsabilidade perante a ANPD, com repercussão na sanção.

Logo, no âmbito do regime de proteção de dados pessoais, é preciso haver a responsabilização do empregado, mas não terá efeito se não for demonstrado o seu efetivo treinamento.

De sua parte, entendeu a Justiça do Trabalho que a dispensa por justa causa, mesmo sendo a sanção mais grave a ser aplicada ao trabalhador que comete uma falta, revela-se medida adequada nas situações como as referidas acima. É provável que tal entendimento decorra do rigor das normas da LGPD que incide sobre as empresas, o que torna indispensável que os seus colaboradores cumpram as normas internas para tratamento de dados pessoais. 

Entretanto, vale repetir, para reduzir a sua responsabilidade perante a ANPD, a empresa precisa demonstrar que realizou treinamentos e o colaborador tinha consciência plena dos seus deveres e das vedações relativas a tratamento de dados pessoais.

Importa deixar claro que cada situação de fato desafia uma solução própria, não sendo correta a generalização de soluções, quando se trata de proteção de dados pessoais.