Uma empresa de telemarketing dispensou uma colaboradora por justa causa e viu a medida ser revertida na Justiça do Trabalho, por ausência de conformidade em proteção de dados processuais.
A colaboradora teria sido dispensada por justa causa pelo compartilhamento de senhas de acesso ao sistema da empresa com outros colaboradores, não obstante ter ela ciência de que tal ação era vedada pelas normas internas da empresa e constituía falta grave.
O TRT – 2ª Região manteve a sentença proferida no
processo nº 1001619-66.2022.5.02.0075, tendo a fundamentação evidenciado que a ausência de conformidade da empresa em proteção de dados pessoais tornou insustentáveis os argumentos de defesa e a manutenção da justa causa.
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) instituiu diversos deveres a serem observados pelas empresas para utilizarem dados pessoais na prestação dos seus serviços ou na venda de seus produtos.
O objetivo da Lei é que as diversas organizações, ao utilizarem dados pessoais na sua atividade, que o façam segundo os parâmetros e regras que assegurem a proteção destes dados contra acessos não autorizados ou usos ilegais ou indevidos, ainda que acidentais.
Uma medida administrativa importante, que constitui uma boa prática na avaliação da Autoridade Nacional de Proteção de Dados, é o treinamento dos colaboradores da empresa em privacidade e proteção de dados. Embora não seja legalmente obrigatório, assume um caráter indispensável no cotidiano das organizações.
Contribui para evidenciar uma gestão de dados pessoais condizente com a LGPD a instituição de procedimento interno para apuração dos incidentes de segurança e violação de dados pessoais, com destaque para a identificação das suas causas e do responsável, bem como com previsão de medidas disciplinares.
Ações dos colaboradores, que violam dados pessoais, podem acarretar responsabilização administrativa da empresa, com a consequente imposição de sanções pecuniárias ou outras, ou mesmo a sua responsabilidade civil, com a sua condenação a indenizar danos causados aos titulares de dados.
Neste contexto, a instauração do procedimento investigatório previsto pode demonstrar seriedade e responsabilidade da empresa no tratamento dos dados pessoais sob sua custódia e ensejar uma redução da eventual penalidade a ser imposta.
Identificado o colaborador responsável pelo incidente ou violação de dados pessoais, é possível a sua responsabilização disciplinar, até mesmo com a dispensa por justa causa, consoante reiteradas decisões da Justiça do Trabalho.
No entanto, sabe-se que a legitimidade da aplicação da sanção disciplinar depende de fatores como o colaborador ter prévia consciência de suas ações e responsabilidades relativas a privacidade e proteção de dados, o que pode ser demonstrado com as evidências dos treinamentos realizados e a alteração do contrato de trabalho e/ou assinatura do termo de confidencialidade em relação aos dados pessoais; a instituição de normas internas relativas a privacidade e proteção de dados e segurança da informação, como um código de conduta ou uma política interna.
Mas além da mera instituição das medidas mencioadas acima, a empresa deve efetivamente realizar as suas atividades em conformidade com tais medidas e com a LGPD.
Aplicando o princípio da primazia da realidade, que vige não somente no Direito do Trabalho, mas que se encontra presente em diversos momentos do regime jurídico da proteção de dados pessoais, a decisão judicial citada acima reverteu a justa causa aplicada à colaboradora.
A justa causa decorreu do compartilhamento de sua senha de acesso ao sistema da empresa com colegas de trabalho, mas restou evidenciado no processo judicial que tal compartilhamento era não somente tolerado na empresa, como mesmo estimulado pelos supervisores, em especial devido ao tempo necessário para a obtenção de nova senha de acesso, quando do vencimento daquela em uso.
Da leitura da decisão, depreende-se que a empresa implementou apenas formalmente as medidas, instituindo inclusive um prazo curto de validade das senhas, gerando uma imagem de conformidade legal. Mas a LGPD não é uma Lei de mero “compliance”, consistindo num diploma normativo de densificação da norma constitucional que consagra o direito fundamental à proteção de dados. Disto decorre uma exigência de efetividade das medidas técnicas e administrativas instituídas, não sendo suficiente a sua mera consagração formal em normativos internos.
Deste modo, além de normatizar, alterar contratos e treinar os colaboradores, o dia a dia da empresa deve refletir as normas e medidas instituídas, sob pena delas existirem apenas no plano da formalidade e não serem suficientes nem para sustentar a responsabilização do colaborador faltoso, nem para configurar boas práticas de proteção de dados, aptas a ensejar a redução de uma sanção eventualmente aplicável.
