A cautela em relação ao armazenamento e guarda de dados pessoais não deveria ser apenas das empresas, mas de todos os titulares de dados, sejam pessoas físicas ou jurídicas, pois assim é o que prescreve a Lei Geral de Proteção de Dados.
Contudo, na prática, as discussões e exemplos envolvem, normalmente, uma empresa – pessoa jurídica – e o titular de dados.
Imagine a situação em que uma pessoa física exerce uma atividade informal, ainda sem qualquer registro de atividade, por si só e em função do seu trabalho, coleta, armazena e compartilha dados.
Um exemplo cotidiano seria um prestador de serviços informal ou até mesmo quem exerça a atividade como um complemento ao seu trabalho, e que obtém dados pessoais de seu cliente e armazena na sua rede, sem qualquer tipo de antivírus ou proteção. Outro exemplo comum poderia ser uma pessoa física, ainda iniciando suas atividades empresariais e que utiliza de serviços de terceiros para entrega de seus produtos e pede ao seu cliente para confirmar se o nome, endereço completo, telefone e últimos dígitos do cartão estão corretos; porém, ao fazer isso, ao invés de enviar apenas ao cliente, envia para um grupo de pessoas ou para outra pessoa diferente da que seria seu cliente com dados pessoais da outra pessoa.
Seria isso um incidente caracterizado por vazamento de dados pessoais?
Nessa situação hipotética, os dados de determinado cliente foram expostos para terceiros e podem até ser espalhados por aí.
A situação descrita é conhecida quando proveniente de lugares mais corriqueiros como, lojas, farmácias, restaurantes, hotéis e internet afora, incluindo todo o ambiente digital, devido às notícias de vazamentos de dados e demais incidentes que são cometidos em nome de pessoas jurídicas.
Contudo, e quando ocorre como no exemplo acima do prestador de serviços pessoa física? Caberia falar em vazamento de dados e violação da LGPD?
Os dados pessoais podem ser extraídos de praticamente tudo o que um indivíduo faz e quando cruzados e tratados, são capazes de revelar características da personalidade, relações afetivas e familiares, etnia, domicílio físico e eletrônico, características físicas, situação financeira, preferências políticas e religiosas, orientação sexual, hábitos de compras entre outros gostos e interesses.
Há, aí, ofensa à privacidade por parte de quem presta serviços, pois não teve o devido cuidado com os dados de seu cliente, informações que caracterizam dados pessoais.
Toda a pessoa natural que fornece um serviço tem responsabilidade sobre os dados que trata, ou seja, sobre os dados que coleta, arquiva, armazena, entre outros. Sendo assim, caso o tratamento dos dados seja realizado de maneira inadequada, aquele que presta serviços, ainda que não seja uma pessoa jurídica, será penalizado.
Portanto, ao contratar pessoas físicas, o cuidado é o mesmo que se espera de uma pessoa jurídica em relação ao tratamento de dados.
Pensando, ainda, que existe a possibilidade de discutir danos morais de quem teve seu dado vazado, tal questionamento seria demasiado cedo. Mas considerando uma recente decisão do STJ ao entender que “o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”, pode-se ter como analogia a aplicação dessa decisão.
Já na esfera trabalhista, não existe ainda nenhum caso envolvendo contratação de pessoas físicas registrada, como, por exemplo, cuidadoras de idosos, babás, empregadas domésticas, motorista, entre outros e vazamento de dados. Há que salientar que as situações hipotéticas acima decorreriam mais de uma relação de prestação de serviços do que trabalhistas.
Sobre esse tema, existe uma recente decisão proferida pelo Tribunal Regional do Trabalho da 3ª Região, no processo nº 0010253-84.2023.5.03.0114, a qual confirmou a demissão por justa causa de uma colaboradora que fazia prints da tela de dados de clientes, expondo dados sigilosos do cliente e da empresa, em total contrariedade à normas da LGPD e da própria CLT, incorrendo em abuso de confiança e má-fé, entre outras irregularidades no exercício de suas funções.
Conclui-se que o respeito, cuidado e segurança com a privacidade dessas informações devem ser mútuos, ou seja, independe se é uma pessoa jurídica ou uma pessoa física, uma vez que é obrigação de ambos devido tanto ao empregador quanto ao empregado. Embora a responsabilidade na guarda dos dados seja obrigação de ambos, não há o que discutir quanto ao fato de que o ônus para o empregador será sempre maior e mais gravoso. Portanto, buscando evitar controvérsias como as que foram abordadas, recomendamos sempre a orientação de um especialista em LGPD, inclusive nas relações de emprego.
*Maria Cecília Sandoval Chaves, advogada da área digital e proteção de dados; Mario Susumi Filho, advogado da área trabalhista. Ambos são do Almeida Prado & Hoffmann Advogados Associados
