11/17/2021
Recentemente, o Tribunal Regional do Trabalho (TRT) da 2ª Região (São Paulo) proferiu acórdão em sede de Recurso Ordinário[1] que, em suma, manteve a sentença proferida pelo juiz da 43ª Vara do Trabalho de São Paulo reconhecendo a dispensa por justa causa de empregado que, violando regras internas da empresa, transferiu dados sigilosos para o seu e-mail pessoal.
De acordo com as duas decisões judiciais, muito embora o empregado tivesse assinado termo de confidencialidade comprometendo-se a não divulgar documentos e informações do seu empregador, enviou para o seu e-mail pessoal uma planilha com números de CNPJ, CPF, cartões, valores, entre outros, sob a justificativa de que o sistema da empresa bloqueava a ação dos empregados quando finalizada a jornada contratual e que, assim, perderia todo o trabalho realizado naquela planilha.
O juiz de 1ª instância reconheceu que o conteúdo da planilha extraviada continha dados pessoais de pessoas naturais e que, “de forma alguma, podem ser extraviados para meios que escapam do controle da empresa, sob pena, inclusive, de eventual responsabilização da empresa pelas pessoas físicas e jurídicas afetadas. A extração de dados tem se tornado um grande commodity da economia.”[2].
Nesse sentido, a sentença foi assertiva, visto que, com base no artigo 42 da Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD), o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Assim, é evidente que a responsabilidade por eventual dano causado aos titulares dos dados contidos na planilha em questão seria da empresa, que nesse caso é a controladora dos dados, e solidariamente da prestadora de serviços, que é a operadora dos dados.
Outro aspecto importante é que, independentemente da existência de dolo por parte do empregado, uma vez demonstrado que ele tinha conhecimento de que os dados eram sigilosos, fica constituída a falta disciplinar grave que justifica a dispensa por justa causa.
Além disso, o TRT também entendeu que o fato do empregado não ter transferido os dados a terceiros não afasta a gravidade da conduta. Ou seja, o simples envio dos dados pessoais tratados pela empresa para seu e-mail pessoal foi suficiente para configurar falta grave.
Por fim, a sentença também destacou que seria de conhecimento de todos os trabalhadores que os dados pessoais tratados “não poderiam ser obtidos de forma “pessoal” – tanto que sequer poderiam levar seus celulares para o setor em que trabalhavam”[3].
Essa medida importante tomada pela empresa garante o cumprimento de um dos princípios da LGPD: o Princípio da Responsabilização e Prestação de Contas. Ele determina que o agente de tratamento deve ser capaz de demonstrar que adotou as medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Diante disso, é possível perceber a importância da implementação das medidas de privacidade e proteção de dados, garantindo a adequação das empresas à lei, bem como a minimização da sua responsabilidade em caso da ocorrência de incidentes de segurança, permitindo, ainda, a imputação de infração grave aos empregados que descumprirem com as políticas internas da empresa.
Autoria de: Ana Carolina Gontijo, Fabio Chong de Lima e Esther Jerussalmy Cunha