O que a empresa deve fazer diante da perda de documentos de trabalhadores?
OPINIÃO
As mudanças climáticas, cada vez mais alarmantes e evidentes, causam impactos multifacetados e impõem a adoção de medidas preventivas, precaucionais e estratégicas pelos departamentos jurídicos e de recursos humanos para o enfrentamento de crises desencadeadas pelos desastres.
Muitos desses documentos, armazenados nos arquivos físicos dos departamentos de RH, ou digitalizados em sistemas adotados pelas empresas, guardam dados pessoais de trabalhadores. A partir disso, os setores de compliance, proteção de dados, jurídico e recursos humanos têm unido esforços para a compreensão do cenário do incidente e das normas jurídicas que precisam ser observadas quanto ao tema.
A perda de documentos que contemplam dados pessoais é considerada incidente de segurança, regrado pelo artigo 48 da Lei 13.709/2018 (Lei Geral de Proteção de Dados). [1] Na recente Resolução do CD/ANPD nº 15 de 24 de abril de 2024, encontra-se o conceito de incidente de segurança como sendo: “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”. [2]
No âmbito europeu, a European Data Protection Board define que uma violação de dados pessoais pode causar efeitos adversos sobre as pessoas, ocasionando a afetação aos princípios da confidencialidade, integridade e disponibilidade de dados pessoais. A violação da integridade é conceituada como “uma alteração acidental ou não autorizada dos dados pessoais”.[3]
A enchente que destruiu documentos da contratualidade de trabalhadores é caracterizada, portanto, como um incidente de segurança que violou a integridade e a disponibilidade de dados pessoais, exigindo das organizações a avaliação sobre a necessidade, inclusive, de comunicação do incidente à ANPD e aos titulares dos dados pessoais.
Comunicação de ocorrência
O artigo 48, caput da LGPD refere que o controlador (neste caso, a empresa) deverá comunicar à ANPD e ao titular de dados pessoais (trabalhadores) a ocorrência de incidente de segurança que possa acarretar “risco ou dano relevante aos titulares”. No entanto, não há na LGPD um conceito preciso sobre o que seria risco ou dano relevante.
Tal esforço foi empreendido pelo artigo 5º e incisos da Resolução nº 15/2024 do CD/ANPD ao estabelecer que o incidente de segurança pode acarretar dano relevante aos titulares quando puder afetar, significativamente, interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:
- dados pessoais sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas;
- dados protegidos por sigilo legal, judicial ou profissional; ou
- dados em larga escala.
A título exemplificativo, se dentre os documentos violados estiverem informações relacionadas a dados pessoais sensíveis, protegidos por sigilo médico (como, por exemplo, dados relacionados à saúde do trabalhador, contidos em prontuários médicos), ou ainda, se a perda de documentos atingiu uma quantidade significativa de trabalhadores (dados em larga escala), a necessidade de comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares deverá ser avaliada pela empresa, controladora de dados pessoais.
É importante ressaltar que o artigo 6º da Resolução nº 15/2024 do CD/ANPD dispõe que a comunicação do incidente de segurança deverá ser realizada no prazo de três dias úteis, contado do conhecimento pelo controlador de que o incidente afetou dados pessoais. [4]
O prazo é, evidentemente, bastante exíguo.
No entanto, deve-se considerar como o dia do começo do prazo apenas o momento em que for possível acessar o local atingido pela enchente e, sobretudo, quando se possa confirmar a ocorrência de incidente de segurança com dados pessoais que tenha o condão de acarretar risco ou dano relevante aos titulares, como predito.
Do ponto de vista jurídico-trabalhista, os tribunais já apreciaram casos envolvendo enchentes e documentos avariados. Os julgados referem a importância da comprovação do lapso temporal em que ocorreu o incidente para que se possa averiguar os fatos citados em matéria de defesa.
Sabe-se que, na grande maioria dos casos e matérias, mesmo que se compreenda pelo extravio de documentos por fato distante da vontade ou (in)ação do empregador, o ônus da prova segue sendo da empresa reclamada, impondo ao magistrado, no entanto, a valorização de outros meios de prova para a solução do caso em concreto, como a prova pericial, a prova testemunhal, bem como a utilização de prova emprestada. [5]
Certamente, nem todo incidente de segurança deverá ser comunicado à Autoridade Nacional de Proteção de Dados. Aliás, a própria ANPD refere este posicionamento em seus documentos e publicações. Inobstante isso, é atribuição do controlador de dados avaliar riscos e impactos aos titulares de dados pessoais decorrentes do incidente para aferir a necessidade de comunicação ou não. [6]
E é justamente neste momento, para gerenciar o incidente e minimizar os diversos riscos envolvidos, que se espera do encarregado pela proteção de dados (DPO) a postura proativa necessária para o exercício de seu mister, inclusive para o registro de todas as informações pertinentes ao incidente, pois a decisão de comunicar o incidente de segurança à ANPD e aos titulares de dados pessoais deverá ser, tecnicamente, muito bem fundamentada. [7]
Ressalte-se que o artigo 8º da Resolução nº 15/2024 do CD/ANPD dispõe sobre a possibilidade de a ANPD, a qualquer tempo, solicitar informações adicionais referentes ao incidente de segurança, incluindo:
- o registro das operações de tratamento dos dados pessoais afetados pelo incidente (ROPA);
- o relatório de impacto à proteção de dados pessoais (RIPD)
- o relatório de tratamento do incidente, estabelecendo prazo para o envio de informações.
A partir disso, vem à tona a implementação dos projetos de adequação à LGPD pelas organizações e a falsa sensação de que a elaboração de qualquer documento, sem contemplar a realidade fática organizacional, poderia auxiliar na gestão dos incidentes.
Backup não é suficiente
Na mesma senda, importante destacar que a mera existência de cópias digitais de segurança dos arquivos físicos (backup) não é suficiente para resguardar a confidencialidade, integridade e disponibilidade de dados pessoais, pois embora seja providência essencial para qualquer organização que invista em segurança da informação, sabe-se que há determinadas situações em que a existência do documento físico (original) será exigida. Portanto, no caso, estariam afetados os princípios da disponibilidade e da integridade dos dados e, assim, teriam sido violados dados pessoais.
Veja-se casos em que a apresentação de documentos originais é requerida pelo Judiciário para fins de perícia documental, por exemplo. E aqui reside a técnica: afinal, até que ponto a cópia digital (backup) de documentos físicos resguarda a sua integridade e disponibilidade? Se afetados os princípios da integridade e da disponibilidade, por consectário lógico, há incidente de segurança.
O direito é dinâmico e precisa ser forjado em debates plurais e policêntricos. São diversos os documentos, as políticas e os avisos de privacidade que compõem um sistema de proteção de dados e que podem auxiliar a gerência dos riscos envolvendo incidentes com dados pessoais de trabalhadores. Para elucidar, observe-se:
- Mapeamento de Dados Pessoais: quando bem implementado, permite compreender o fluxo dos dados pessoais dos trabalhadores dentro da organização. Como é realizado o tratamento de dados, se há dados comuns ou sensíveis, com quem são compartilhados, se há armazenamento ou descarte;
- Política de Privacidade e Proteção de Dados: impõe responsabilidades aos stakeholders envolvidos no tratamento de dados pessoais, orientando quais são as medidas técnicas e organizativas implementadas pela empresa e que devem ser seguidas por todos;
- Política de Armazenamento e Descarte de Dados Pessoais: a partir de análise normativa, é possível delimitar o tempo de armazenamento e a possibilidade de descartar documentos da contratualidade de trabalho, conforme regras contidas na própria legislação trabalhista;
- Acordo para Processamento de Dados Pessoais: documento a ser firmado entre controlador e operador de dados pessoais, com diversas regras a serem observadas, inclusive, em caso de eventual incidente de segurança. Empresas terceirizadas (operadoras de dados pessoais) devem assumir, contratualmente, o seu compromisso com a proteção dos dados pessoais;
- Política de Comunicação e Gestão de Incidentes de Segurança: documento essencial para o enfrentamento da crise relacionada à perda de documentos em razão das enchentes no Rio Grande do Sul. Organização, metodologia e estratégia são fundamentais para o gerenciamento do incidente.
São diversos documentos contendo dados pessoais de trabalhadores, próprios ou terceirizados que percorrem os departamentos jurídico e de recursos humanos das empresas de forma cotidiana. Obviamente estes documentos portam dados de titulares pessoas físicas, ou seja, dados pessoais, que no Brasil foram erigidos à categoria de direitos fundamentais.
Episódios como as enchentes de maio no Rio Grande do Sul certamente desafiam gestores mas, sem muito esforço, é possível compreender que apenas a partir do diálogo entre a proteção de dados e o direito de trabalho se trilhará rumo à solução dos diversos casos complexos que se apresentarão, como decorrência das catástrofes climáticas (que lamentavelmente se tornarão cada dia mais frequentes).
É por isso que o direito não é uma simples ideia; mas sim, força viva. [8]
[1] Disponível em: L13709 (planalto.gov.br)
[2] Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)
[3] Disponível em: edpb_guidelines_012021_pdbnotification_adopted_pt.pdf (europa.eu)
[4] Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)
[5] Veja-se o seguinte julgado, proferido pelo TRT da 3ª Região: “[…] E ainda que se entenda que, de fato, os cartões de ponto do reclamante foram extraviados, o ônus da prova continua a ser da empresa, que detém a responsabilidade pela guarda dos documentos. Nesse contexto, há que se analisar a prova oral. […]” (TRT-3 – ROT: 00108824820215030140, Relator: Lucilde D’Ajuda Lyra de Almeida, Sexta Turma).
[6] Observe-se o documento publicado pela ANPD sobre a comunicação de incidente de segurança, disponível em: Comunicação de incidente de segurança — Autoridade Nacional de Proteção de Dados (www.gov.br)
[7] Art. 10. O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. § 1º O registro do incidente deverá conter, no mínimo: I – a data de conhecimento do incidente; II – a descrição geral das circunstâncias em que o incidente ocorreu; III – a natureza e a categoria de dados afetados; IV – o número de titulares afetados; V – a avaliação do risco e os possíveis danos aos titulares; VI – as medidas de correção e mitigação dos efeitos do incidente, quando aplicável; VII – a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e VIII – os motivos da ausência de comunicação, quando for o caso. (Disponível em: RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)
[8] VON IHERING, Rudolf. A Luta pelo Direito. São Paulo: Martin Claret, 2008.