Primeiramente, a Lei diferencia o empregado, contratado de acordo com a Consolidação das Leis do Trabalho – CLT, do terceirizado ou do prestador de serviços, o que impacta diretamente na forma como podem ser responsabilizados.
A LGPD classifica o prestador de serviços como operador, o qual refere-se a pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador. Ou seja, todo terceirizado ou prestador de serviços que lida com dados pessoais repassados pela empresa controladora é considerado operador. Essa classificação abrange, inclusive, os PJs contratados para determinadas tarefas.
Os operadores devem utilizar os dados de acordo com a Lei e seguindo as instruções da empresa controladora. Caso descumpram a LGPD ou as orientações fornecidas e causem danos patrimoniais ou morais aos titulares, podem ser equiparados ao controlador e responsabilizados de forma solidária, devendo reparar, inclusive financeiramente, o dano causado. A empresa controladora que for prejudicada por um operador e reparar o dano por sua conta, poderá buscar seu direito de regresso contra o prestador de serviços.
Já no que se refere aos empregados, a Autoridade Nacional de Proteção de Dados – ANPD decidiu, recentemente, que os mesmos não são considerados operadores de dados, mas sim, agentes subordinados à empresa controladora em razão do vínculo trabalhista. Desta forma, caso um empregado descumpra a LGPD ou as orientações do empregador, sua responsabilização deverá se dar no âmbito da legislação trabalhista, podendo ser aplicadas as penalidades previstas na CLT, como advertências, suspensões e, até mesmo, em último caso, a rescisão por justa causa.
Destaca-se o poder judiciário já vem decidindo sobre a matéria. Recente decisão do Tribunal Regional do Trabalho da 2ª Região manteve a demissão por justa causa aplicada a um atendente de telemarketing que enviou para seu e-mail pessoal uma lista com dados sigilosos de uma empresa de vale refeição.
A CLT possibilita, ainda, o desconto em folha do salário do empregado que comprovadamente causou dano à empresa, desde que também demonstrado o dolo do funcionário, nos termos do art. 462. §1º, CLT. Afora da legislação trabalhista, o empregador pode, ainda, buscar na esfera cível a responsabilização do funcionário, através de ação indenizatória, com o objetivo de ressarcir eventuais prejuízos havidos.
É muito importante que as empresas não apenas se adequem à LGPD, mas busquem criar uma cultura interna de proteção de dados, treinando e capacitando funcionários e prestadores de serviço acerca das boas práticas e de suas responsabilidades no tratamento de dados pessoais. Tais medidas demonstram, ainda, a seriedade e o zelo no trato com os dados pessoais e a importância de que todos na empresa zelem pelos mesmos, em respeito à privacidade dos titulares e ao compliance da empresa.
Por Diogo Petter Nesello | OAB/RS 89.824
