Um Centro de Emagrecimento e Estética foi condenado, pelo TRT-MG, a indenizar uma ex-colaboradora por violação da sua privacidade, face ao uso indevido de seus dados pessoais (processo nº 0010853-11.2021.5.03.0071).
A proteção da privacidade e dos dados pessoais dos colaboradores é dever de toda organização e adquiriu especial relevância após a publicação da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Aos dados pessoais dos colaboradores deve ser dispensada a mesma atenção que aos dados pessoais dos clientes, ou seja, devem ser implementadas medidas técnicas e administrativas que protejam os dados contra acessos não autorizados ou usos indevidos (art. 46 da LGPD).
A LGPD não contém um rol específico de medidas, ela oferece os parâmetros a serem considerados para que cada organização possa implementar aquelas que se mostrarem mais adequadas ao seu modelo de negócio e à sua própria realidade, desde que as medidas eleitas sejam aptas e suficientes para resguardar os direitos e liberdades dos titulares dos dados.
Trata-se de um mecanismo adotado no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), no qual a LGPD foi inspirada, denominado “Abordagem Baseada no Risco”.
Seja qual for o tamanho da empresa ou sua área de atividade, deve sempre realizar tratamento de dados pessoais mediante a adoção de medidas de proteção que sejam proporcionais ao grau de risco envolvido.
Entretanto, uma medida administrativa indispensável e ao alcance de todo agente de tratamento de dados é o treinamento e a conscientização em privacidade e proteção de dados de todas as pessoas da organização.
As estatísticas revelam que o elemento humano é um ponto de grande vulnerabilidade nas empresas. Deste modo, um bom programa de adequação à LGPD inclui a conscientização e o treinamento de todo o pessoal interno para lidar com dados pessoais.
A ausência do treinamento sujeita toda a equipe a usos indevidos dos dados e põe a empresa em risco.
No processo mencionado, um sócio do Centro de Emagrecimento e Estética teve acesso à conta de WhatsApp Web de uma ex-colaboradora, que havia ficado “logada” no computador da empresa. Ele então consultou as conversas privadas dela com outra colaboradora, que mencionavam um suposto envolvimento extraconjugal dele com uma terceira colaboradora. As telas da conversa foram impressas e utilizadas numa reunião, com toda a equipe.
A inexistência de padrões de conduta a serem adotados pelos colaboradores desencadeou uma série de infrações à LGPD, que violaram também a privacidade da ex-colaboradora e sujeitaram a empresa à condenação judicial.
Já de início, não deveria ser permitido que os colaboradores fizessem uso pessoal dos dispositivos da empresa, de modo que a ex-colaboradora não deveria acessar a sua conta de WhatsApp naquele computador. Por outro lado, todo o pessoal deve ser treinado para efetuar “logout”, para se desconectar de qualquer plataforma, site ou sistema, quando for se ausentar da mesa de trabalho.
O acesso do sócio à conta da ex-colaboradora representou “acesso não autorizado” nos termos da LGPD, mas ele foi além e visualizou conversas privadas dela, agravando o uso indevido e ilícito daquele dado pessoal. Tomar conhecimento do conteúdo da conversa o impulsionou a fazer impressões e utilizá-las na reunião, revelando a todos o conteúdo da conversa privada da ex-colaboradora e atribuindo a ela adjetivos pejorativos.
Todos estes desdobramentos poderiam ter sido evitados se a empresa tivesse implementado um programa de conformidade à LGPD, que incluiria o estabelecimento de um código de conduta, com práticas padronizadas para o tratamento de dados pessoais e o treinamento de todo o pessoal nestas práticas.
A conscientização em proteção de dados abrange o conhecimento dos deveres e responsabilidades de cada um, com as correspondentes consequências, em caso de descumprimento.
Trata-se de uma medida acessível, indispensável para todos aqueles que tratam dados pessoais, uma vez que introduz a cultura da proteção de dados na organização e contribui para elevar o nível de segurança no trato com os dados, traduzindo-se em ações de respeito aos direitos e liberdades dos titulares de dados pessoais e que tem efeito reputacional positivo para a empresa, interna e externamente.
