Filiado à:

Sindicato dos Trabalhadores nas Indústrias de Ladrilhos Hidráulicos, Produtos de Cimento, Fibrocimento e Artefatos de Cimento Armado de Curitiba e Região

Sindicato dos Trabalhadores nas Indústrias de Ladrilhos Hidráulicos, Produtos de Cimento, Fibrocimento e Artefatos de Cimento Armado de Curitiba e Região

O que a empresa deve fazer diante da perda de documentos de trabalhadores?

OPINIÃO

As mudanças climáticas, cada vez mais alarmantes e evidentes, causam impactos multifacetados e impõem a adoção de medidas preventivas, precaucionais e estratégicas pelos departamentos jurídicos e de recursos humanos para o enfrentamento de crises desencadeadas pelos desastres.

Com as inundações ocorridas no mês de maio, no Rio Grande do Sul, muitas empresas tiveram suas sedes inundadas e documentos (físicos e digitais) da contratualidade de empregados, ex-empregados e empregados de empresas terceirizadas foram destruídos, avariados ou extraviados pela enchente.

Muitos desses documentos, armazenados nos arquivos físicos dos departamentos de RH, ou digitalizados em sistemas adotados pelas empresas, guardam dados pessoais de trabalhadores. A partir disso, os setores de compliance, proteção de dados, jurídico e recursos humanos têm unido esforços para a compreensão do cenário do incidente e das normas jurídicas que precisam ser observadas quanto ao tema.

A perda de documentos que contemplam dados pessoais é considerada incidente de segurança, regrado pelo artigo 48 da Lei 13.709/2018 (Lei Geral de Proteção de Dados). [1] Na recente Resolução do CD/ANPD nº 15 de 24 de abril de 2024, encontra-se o conceito de incidente de segurança como sendo: “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”. [2]

No âmbito europeu, a European Data Protection Board define que uma violação de dados pessoais pode causar efeitos adversos sobre as pessoas, ocasionando a afetação aos princípios da confidencialidade, integridade e disponibilidade de dados pessoais. A violação da integridade é conceituada como “uma alteração acidental ou não autorizada dos dados pessoais”.[3]

A enchente que destruiu documentos da contratualidade de trabalhadores é caracterizada, portanto, como um incidente de segurança que violou a integridade e a disponibilidade de dados pessoais, exigindo das organizações a avaliação sobre a necessidade, inclusive, de comunicação do incidente à ANPD e aos titulares dos dados pessoais.

Comunicação de ocorrência

O artigo 48, caput da LGPD refere que o controlador (neste caso, a empresa) deverá comunicar à ANPD e ao titular de dados pessoais (trabalhadores) a ocorrência de incidente de segurança que possa acarretar “risco ou dano relevante aos titulares”. No entanto, não há na LGPD um conceito preciso sobre o que seria risco ou dano relevante.

Tal esforço foi empreendido pelo artigo 5º e incisos da Resolução nº 15/2024 do CD/ANPD ao estabelecer que o incidente de segurança pode acarretar dano relevante aos titulares quando puder afetar, significativamente, interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:

  • dados pessoais sensíveis;
  • dados de crianças, de adolescentes ou de idosos;
  • dados financeiros;
  • dados de autenticação em sistemas;
  • dados protegidos por sigilo legal, judicial ou profissional; ou
  • dados em larga escala.

A título exemplificativo, se dentre os documentos violados estiverem informações relacionadas a dados pessoais sensíveis, protegidos por sigilo médico (como, por exemplo, dados relacionados à saúde do trabalhador, contidos em prontuários médicos), ou ainda, se a perda de documentos atingiu uma quantidade significativa de trabalhadores (dados em larga escala), a necessidade de comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares deverá ser avaliada pela empresa, controladora de dados pessoais.

É importante ressaltar que o artigo 6º da Resolução nº 15/2024 do CD/ANPD dispõe que a comunicação do incidente de segurança deverá ser realizada no prazo de três dias úteis, contado do conhecimento pelo controlador de que o incidente afetou dados pessoais. [4]

O prazo é, evidentemente, bastante exíguo.

No entanto, deve-se considerar como o dia do começo do prazo apenas o momento em que for possível acessar o local atingido pela enchente e, sobretudo, quando se possa confirmar a ocorrência de incidente de segurança com dados pessoais que tenha o condão de acarretar risco ou dano relevante aos titulares, como predito.

Do ponto de vista jurídico-trabalhista, os tribunais já apreciaram casos envolvendo enchentes e documentos avariados. Os julgados referem a importância da comprovação do lapso temporal em que ocorreu o incidente para que se possa averiguar os fatos citados em matéria de defesa.

Sabe-se que, na grande maioria dos casos e matérias, mesmo que se compreenda pelo extravio de documentos por fato distante da vontade ou (in)ação do empregador, o ônus da prova segue sendo da empresa reclamada, impondo ao magistrado, no entanto, a valorização de outros meios de prova para a solução do caso em concreto, como a prova pericial, a prova testemunhal, bem como a utilização de prova emprestada. [5]

Certamente, nem todo incidente de segurança deverá ser comunicado à Autoridade Nacional de Proteção de Dados. Aliás, a própria ANPD refere este posicionamento em seus documentos e publicações. Inobstante isso, é atribuição do controlador de dados avaliar riscos e impactos aos titulares de dados pessoais decorrentes do incidente para aferir a necessidade de comunicação ou não. [6]

E é justamente neste momento, para gerenciar o incidente e minimizar os diversos riscos envolvidos,  que se espera do encarregado pela proteção de dados (DPO) a postura proativa necessária para o exercício de seu mister, inclusive para o registro de todas as informações pertinentes ao incidente, pois a decisão de comunicar o incidente de segurança à ANPD e aos titulares de dados pessoais deverá ser, tecnicamente, muito bem fundamentada. [7]

Ressalte-se que o artigo 8º da Resolução nº 15/2024 do CD/ANPD dispõe sobre a possibilidade de a ANPD, a qualquer tempo, solicitar informações adicionais referentes ao incidente de segurança, incluindo:

  • o registro das operações de tratamento dos dados pessoais afetados pelo incidente (ROPA);
  • o relatório de impacto à proteção de dados pessoais (RIPD)
  • o relatório de tratamento do incidente, estabelecendo prazo para o envio de informações.

A partir disso, vem à tona a implementação dos projetos de adequação à LGPD pelas organizações e a falsa sensação de que a elaboração de qualquer documento, sem contemplar a realidade fática organizacional, poderia auxiliar na gestão dos incidentes.

Backup não é suficiente

Na mesma senda, importante destacar que a mera existência de cópias digitais de segurança dos arquivos físicos (backup) não é suficiente para resguardar a confidencialidade, integridade e disponibilidade de dados pessoais, pois embora seja providência essencial para qualquer organização que invista em segurança da informação, sabe-se que há determinadas situações em que a existência do documento físico (original) será exigida. Portanto, no caso, estariam afetados os princípios da disponibilidade e da integridade dos dados e, assim, teriam sido violados dados pessoais.

Veja-se casos em que a apresentação de documentos originais é requerida pelo Judiciário para fins de perícia documental, por exemplo. E aqui reside a técnica: afinal, até que ponto a cópia digital (backup) de documentos físicos resguarda a sua integridade e disponibilidade? Se afetados os princípios da integridade e da disponibilidade, por consectário lógico, há incidente de segurança.

O direito é dinâmico e precisa ser forjado em debates plurais e policêntricos. São diversos os documentos, as políticas e os avisos de privacidade que compõem um sistema de proteção de dados e que podem auxiliar a gerência dos riscos envolvendo incidentes com dados pessoais de trabalhadores. Para elucidar, observe-se:

  • Mapeamento de Dados Pessoais: quando bem implementado, permite compreender o fluxo dos dados pessoais dos trabalhadores dentro da organização. Como é realizado o tratamento de dados, se há dados comuns ou sensíveis, com quem são compartilhados, se há armazenamento ou descarte;
  • Política de Privacidade e Proteção de Dados: impõe responsabilidades aos stakeholders envolvidos no tratamento de dados pessoais, orientando quais são as medidas técnicas e organizativas implementadas pela empresa e que devem ser seguidas por todos;
  • Política de Armazenamento e Descarte de Dados Pessoais: a partir de análise normativa, é possível delimitar o tempo de armazenamento e a possibilidade de descartar documentos da contratualidade de trabalho, conforme regras contidas na própria legislação trabalhista;
  • Acordo para Processamento de Dados Pessoais: documento a ser firmado entre controlador e operador de dados pessoais, com diversas regras a serem observadas, inclusive, em caso de eventual incidente de segurança. Empresas terceirizadas (operadoras de dados pessoais) devem assumir, contratualmente, o seu compromisso com a proteção dos dados pessoais;
  • Política de Comunicação e Gestão de Incidentes de Segurança: documento essencial para o enfrentamento da crise relacionada à perda de documentos em razão das enchentes no Rio Grande do Sul. Organização, metodologia e estratégia são fundamentais para o gerenciamento do incidente.

São diversos documentos contendo dados pessoais de trabalhadores, próprios ou terceirizados que percorrem os departamentos jurídico e de recursos humanos das empresas de forma cotidiana. Obviamente estes documentos portam dados de titulares pessoas físicas, ou seja, dados pessoais, que no Brasil foram erigidos à categoria de direitos fundamentais.

Episódios como as enchentes de maio no Rio Grande do Sul certamente desafiam gestores mas, sem muito esforço, é possível compreender que apenas a partir do diálogo entre a proteção de dados e o direito de trabalho se trilhará rumo à solução dos diversos casos complexos que se apresentarão, como decorrência das catástrofes climáticas (que lamentavelmente se tornarão cada dia mais frequentes).

É por isso que o direito não é uma simples ideia; mas sim, força viva. [8]


[1] Disponível em: L13709 (planalto.gov.br)

[2] Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)

[3] Disponível em: edpb_guidelines_012021_pdbnotification_adopted_pt.pdf (europa.eu)

[4] Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)

[5] Veja-se o seguinte julgado, proferido pelo TRT da 3ª Região: “[…] E ainda que se entenda que, de fato, os cartões de ponto do reclamante foram extraviados, o ônus da prova continua a ser da empresa, que detém a responsabilidade pela guarda dos documentos. Nesse contexto, há que se analisar a prova oral. […]” (TRT-3 – ROT: 00108824820215030140, Relator: Lucilde D’Ajuda Lyra de Almeida, Sexta Turma).

[6] Observe-se o documento publicado pela ANPD sobre a comunicação de incidente de segurança, disponível em: Comunicação de incidente de segurança — Autoridade Nacional de Proteção de Dados (www.gov.br)

[7] Art. 10. O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. § 1º O registro do incidente deverá conter, no mínimo: I – a data de conhecimento do incidente; II – a descrição geral das circunstâncias em que o incidente ocorreu; III – a natureza e a categoria de dados afetados; IV – o número de titulares afetados; V – a avaliação do risco e os possíveis danos aos titulares; VI – as medidas de correção e mitigação dos efeitos do incidente, quando aplicável; VII – a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e VIII – os motivos da ausência de comunicação, quando for o caso. (Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)

[8] VON IHERING, Rudolf. A Luta pelo Direito. São Paulo: Martin Claret, 2008.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

13 − 12 =