O presente artigo tem como finalidade verificar se há possibilidade de vínculo de emprego entre operador e controlador de dados e a responsabilidade solidária à luz do inciso I, artigo 42 da LGPD.
Vigente desde agosto de 2020, a Lei Geral de Proteção de Dados (Lei 13.709) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Na iminência de entrar em vigor na integralidade, tendo em vista que os dispositivos que discorrem sobre as penalidades aplicadas pela não adequação ao referido diploma legal entrarão em vigor no próximo dia 1/8/211, a LGPD tem sido objeto de muitos debates no ordenamento jurídico e por ser um regramento muito prematuro, tem causado muitas dúvidas aos jurisdicionados.
Um destes questionamentos se refere à possibilidade de haver vínculo de natureza empregatícia entre o operador e controlador de dados e a aplicação, e nesta hipótese, se há responsabilidade solidária entre ambos, à luz do artigo 42 da LGPD.
Nos termos dos incisos VI e VII do artigo 5º da Lei, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Já o operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Essas figuras se referem aos agentes de tratamento de dados, responsáveis por toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Tecidas as considerações iniciais, indaga-se: há possibilidade de haver vínculo de natureza empregatícia entre o operador e controlador de dados?
A primeira corrente adota o entendimento de que não é possível que o operador seja empregado do controlador de dados. Isso porque, a GDPR, legislação europeia na qual o Brasil se baseou para instituição da LGPD, entende que o operador, na figura do subcontratante, deve ser um agente externo, não podendo ser subordinado ao controlador de dados.2
Além disso, em maio deste ano, a Autoridade Nacional de Proteção de Dados lançou o Guia Orientativo para Definições do Agentes de Tratamento de Dados Pessoais. Embora sem natureza vinculativa, o Guia Orientativo recomendou, no item 58, que empregados, administradores, sócios, servidores, e outras pessoais naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que este sempre será pessoa distinta do controlador, ou seja, que não atua como profissional subordinado a este ou com membro de seus órgãos.
A outra corrente se filia ao entendimento de que não há impedimento legal para que o operador de dados seja empregado ou subordinado do controlador, ou seja, não há dispositivo na LGPD que proíba que o operador seja subordinado ao controlador seja o regime jurídico celetista ou estatutário.
Corroborando com tese adotada pela segunda corrente, vale mencionar o caso do Tribunal de Justiça do Distrito Federal e dos Territórios – TJ/DFT, que, por meio da resolução 9 de 2 de setembro de 2020, adotou o seguinte entendimento:
Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.
§ 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.
§ 2º O Comitê será formado por equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.
Conforme se verifica, o presidente, vice-presidente e corregedor, que estão no topo da hierarquia do órgão, são considerados controladores por terem a possibilidade de, ainda que de forma limitada, decidir sobre o tratamento de dados. Por sua vez, os demais servidores e terceiros são considerados como operadores, justamente por realizarem as operações de tratamento em nome do Tribunal.
Note-se que, neste caso, os operadores são subordinados aos controladores de dados, diferentemente do que recomenda a Autoridade Nacional de Proteção de Dados Pessoais por meio do Guia de Orientações.
Cumpre salientar que, de acordo com a corrente que defende a possibilidade de haver vínculo de natureza empregatícia entre o operador e controlador de dados, a atuação de determinados empregados como operadores de dados já é uma realidade, como pode se observar, por exemplo, nos setores de recursos humanos das empresas e órgãos estatais.
Por outro lado, superadas a premissa da possibilidade de haver relação de emprego entre o operador e controlador de dados, surge a seguinte indagação: se o operador de dados for empregado do controlador, ou seja, se entre eles há firmada uma relação de emprego, pode recair ao operador a responsabilidade solidária prevista no § 1º, artigo 42 da LGPD, na hipótese de danos causados pelo tratamento indevido de dados inerentes à atividade econômica?
A resposta para essa indagação requer uma análise das responsabilidades imputadas tanto pela LGPD quanto pela CLT.
O artigo 42 da LGPD discorre que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
À luz da lei geral de proteção de dados, o operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador.
Por outro lado, o artigo 2º da CLT dispõe que se considera empregador a empresa, individual ou coletiva, que, assumindo os riscos da atividade econômica, admite, assalaria e dirige a prestação pessoal de serviço.
Com base no dispositivo em apreço, em contraponto aos interesses obreiros oriundos do contrato de trabalho, o empregador assume, exclusivamente, o risco do empreendimento ou do trabalho, os ônus decorrentes da sua atividade empresarial ou até mesmo do contrato empregatício celebrado.
Por tais características, na relação de emprego, o controlador de dados, na relação de emprego, assumiria os riscos causados pelo operador, exceto na hipótese de constatação de dolo do operador de dados empregado.
Portanto, com base nos fundamentos levantados, infere-se que não há determinação legal que impossibilite a contratação de operador de dados como empregado, uma porque a atuação de determinados empregados como operadores de dados já é uma realidade, como pode se observar, por exemplo, no setor de recursos humanos das empresas e, duas, porque o Guia Orientativo lançado pela ANPD, que recomenda que o operador não atue como profissional subordinado a não tem natureza vinculativa.
No entanto, se o operador de dados atuar na condição de empregado, sob o regime da CLT, a empresa deve se atentar aos meios para uma adequada aplicação do inciso I, artigo 42 da LGPD. Isso porque, se, porventura, o operador de dados for responsabilizado nos moldes do referido dispositivo legal, eventuais obrigações oriundas da responsabilidade solidaria prevista no inciso I, artigo 42 da LGPD pode ser objeto de discussão na justiça do trabalho, ante à previsão legal do artigo 2º da CLT, que dispõe sobre a assunção dos riscos do empreendimento ou do trabalho.
____________
1 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII – (VETADO);
VIII – (VETADO);
IX – (VETADO).
X – (VETADO); (Incluído pela Lei nº 13.853, de 2019). (Promulgação partes vetadas)
XI – (VETADO); (Incluído pela Lei nº 13.853, de 2019). (Promulgação partes vetadas)
XII – (VETADO). (Incluído pela Lei nº 13.853, de 2019). (Promulgação partes vetadas)
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
2 3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:
(…)
4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no nº 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.
____________
João Paulo Gregório
Sócio do Petrarca Advogados
Midiã Cristina Procópio
Sócia do Petrarca Advogados