Em decisão recente, o Tribunal Regional do Trabalho da 3ª Região condenou uma franquia de uma famosa rede de chocolates, situada na cidade de Ponte Nova/MG, a indenizar uma colaboradora por danos morais, por ter divulgado, no site da loja, o número do telefone pessoal da funcionária.

Embora alguns veículos tenham divulgado que a empresa utilizou o número de telefone da colaboradora sem a sua autorização, no que tange ao regime jurídico da proteção de dados pessoais, o consentimento do empregado para tratamento dos seus dados não é a base legal adequada a ser utilizada pelo empregador.

Bases legais são hipóteses em que a LGPD considera legítima e autoriza a realização do tratamento de dados pessoais, sendo o consentimento do titular dos dados uma delas.

O consentimento para tratamento de dados é qualificado - para ser válido, são exigidos vários requisitos, dentre eles que seja uma manifestação de vontade livre. A situação de subordinação hierárquica, própria da relação laboral, normalmente retira da manifestação de vontade do empregado esta qualidade – o empregado, em geral, não é livre para negar uma “solicitação” do empregador.

Para além dos diversos desdobramentos na seara do Direito do Trabalho, houve a condenação da empresa ao pagamento da verba indenizatória, por ter violado a LGPD, ao tratar ilegalmente o dado pessoal representado pelo número de telefone da colaboradora.

É irrelevante, para o enquadramento jurídico, ter havido ou não a revelação da identidade da funcionária no caso concreto. Sujeita-se às disposições da LGPD qualquer tratamento de informação, relativa a uma pessoa natural, passível de identificá-la. Não se exige a identificação prima facie. Se é uma informação que pode conduzir à identificação do seu titular, ela se qualifica como dado pessoal e o seu tratamento deve ser feito nos termos da LGPD.

A irregularidade no tratamento de dados, além da responsabilidade civil indenizatória, atrai também a responsabilidade administrativa, que pode se traduzir na aplicação de sanção pela ANPD – Autoridade Nacional de Proteção de Dados.

A transversalidade do tema da proteção de dados pessoais se revela, muitas vezes, como algo interno ou mesmo intrínseco a outras diversas atividades, mas, ao mesmo tempo, a sua individualização e sua autonomia se mantêm para efeito de responsabilização. Uma mesma conduta pode ensejar a responsabilização por violação do direito à proteção de dados pessoais de modo autônomo, paralelamente à responsabilização por infração a outras normas, como as de natureza trabalhista.

Este caso evidencia que a exigência de conformidade à LGPD tem se tornado uma realidade para organizações de pequeno e médio porte. A estratégia de adiar o enfrentamento do tema pode se transformar num pesadelo a qualquer instante. 

Tão ou mais relevante quanto uma condenação judicial ou imposição de sanção pecuniária é o efeito reputacional negativo de um incidente com dados pessoais. Além do impacto sobre a imagem e a credibilidade da empresa, no caso de uma franquia, o incidente pode ensejar problemas contratuais com o franqueador, já que os efeitos negativos da conduta ilegal do franqueado se refletem também na marca.

O ingresso da ANPD brasileira na Rede Íbero-Americana de Proteção de Dados e o Memorando de Entendimento assinado com a Autoridade de Proteção de Dados da Espanha indicam uma aproximação que deve resultar numa forte influência da experiência espanhola sobre a Autoridade brasileira.

E no âmbito da União Europeia, a Autoridade da Espanha lidera o ranking do número de multas aplicadas por violação do Regulamento de proteção de dados, sendo recorrente a aplicação de sanções a organizações de pequeno porte, como escritórios, associação cultural, clínicas médicas e outras.

Um dos princípios da proteção de dados pessoais é o da prevenção, pelo qual, em havendo algum incidente com dados, a defesa do agente de tratamento é demonstrar as providências adotadas previamente e a sua eficácia (princípios da accountability e do privacy by design), como forma de reduzir ou mesmo eventualmente afastar a aplicação de sanções.