LGPD e a exposição indevida de dados pessoais na internet

Eduardo Mendes Zwierzikowski

É comum que ao procurarmos sobre nós mesmos em sites de busca, como o Google, sejam listadas diversas informações a nosso respeito, como nome, endereço, participação em sociedades empresariais ou em processos judiciais, por exemplo. Contudo, a exposição indevida de dados pessoais na internet pode representar um risco a nossa segurança e privacidade, facilitando o uso dessas informações para a prática de fraudes ou outros atos ilícitos por criminosos.

Com a edição da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Federal nº 13.708/2018), foram positivadas regras para a realização do tratamento de dados pessoais por pessoas físicas ou jurídicas de direito público ou privado, em meios digitais ou físicos.

Nesse contexto, toda e qualquer operação de tratamento dados pessoais, incluindo a coleta, o compilamento dessas informações e a sua divulgação na internet está sujeita à LGPD, devendo respeitar propósitos legítimos, específicos, explícitos e informados ao titular de dados e obedecer a outros princípios, como o da segurança, prevenção e necessidade.

Aquele que se sentir ofendido com a divulgação excessiva e despropositada de dados pessoais tem o direito de requerer a exclusão destes, podendo fazê-lo diretamente às empresas proprietárias dos sites (quando disponível), ou então por meio do envio de notificações extrajudiciais, formalização de denúncia à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) ou ingresso de ação judicial destinada a garantir o seu direito fundamental à proteção de dados pessoais.

O Núcleo de Direito Digital de Prolik Advogados está à disposição para esclarecer qualquer dúvida a respeito do tema.

Currículos recebidos trarão impactos na LGPD

Por Ana Paula Araújo Leal Cia

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) já em vigor trouxe impactos no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas e é fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

No entanto, a utilização de dados pessoais deverá ser resguardada antes mesmo da celebração do contrato de trabalho, quando do recebimento de currículos dos candidatos.

Um fato inusitado ocorreu com uma garota no município de Jaboticabal, SP. Ao entregar o currículo em uma loja de presentes o mesmo foi utilizado, como etiqueta, para marcação de preço numa mercadoria do estabelecimento. A mãe da jovem reconheceu a foto da filha, o que deixou a menina indignada com a atuação da loja (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/2020/10/05/jovem-tem-curriculo-usado-como-etiqueta-de-bolsa-em-loja-de-jaboticabal-sp-e-ridiculo.ghtml).

Ainda que tenha havido um equívoco na utilização do currículo da garota, este fato serve para demonstrar a necessidade de as empresas se concentrarem na utilização correta de documentos com dados pessoais e/ou sensíveis recebidos antes do início da contratação. Ou seja, prover segurança para resguardar a proteção das informações do candidato ao emprego.

Destaca-se, aqui, a necessidade de criação de programas internos de proteção de dados, sobretudo com relação ao armazenamento e descarte das informações recebidas pelos candidatos a emprego, minimizando os riscos relacionados com a segurança da informação.

No caso concreto a utilização do currículo da garota trata-se de um ilícito civil passível de indenização por danos morais, além da sanção administrativa prevista no artigo 52 da LGPD. Então, a orientação é que as empresas comecem a cuidar das suas bases de dados, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais serão mantidos pela empresa.

A LGPD e a corrida ao poder judiciário

Por Flávia Lubieska Kischelewski

Depois de sucessivos adiamentos e dúvidas sobre o início da vigência, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) finalmente entrou em vigência, parcialmente, em 18 de setembro de 2020 – uma sexta-feira. Dizemos, parcialmente, pois é preciso lembrar que os dispositivos relativos às sanções administrativas somente vigorarão a partir de 1º de agosto de 2021.

Essas circunstâncias tornam o Poder Judiciário a instituição, por excelência, para dirimir conflitos que tenham por núcleo conflitos relacionados ao tratamento, em tese, irregular de dados pessoais.

Assim sendo, não demorou para que, rapidamente, fosse ajuizada a primeira ação tendo por fundamento a LGPD. Na segunda-feira, 21 de setembro, o Ministério Público do Distrito Federal e dos Territórios (MPDFT) que, antes mesmo do início da vigência da LGPD, vinha atuando intensamente como uma espécie de guardião da proteção dos dados pessoais e da privacidade dos brasileiros, por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), ajuizou uma Ação Civil Pública contra a Infortexto Ltda., que se apresentava como empresa de produtos e serviços digitais.

Entre os produtos que violariam a LGPD, segundo constou da ação, no site da empresa havia oferta de contatos para marketing com dados de pessoas naturais da cidade de São Paulo, consistentes em nomes; e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEPs. Para o MPDFT, a ré deveria ser condenada a eliminar todos os dados pessoais tratados de forma irregular, conforme diretrizes da LGPD.

Tão rápido quanto o ajuizamento da ação civil público, foi a sentença. Proferida em 22 de setembro, o pedido do MPDFT foi, de plano, indeferido. Não houve julgamento de mérito, em razão “ausência de interesse processual do autor”, isso porque o D. Juiz consultou o site da empresa e verificou que este estava em manutenção (mais recentemente, o site se tornou totalmente inacessível). Nesse contexto, decidiu-se que não restou evidenciada nenhuma lesão ou ameaça de lesão apta a justificar o processamento da ação.

Ainda cabe recurso por parte do MPDFT. Por enquanto, somente é possível afirmar que a primeira ação relacionada à LGPD não gerou precedente que pudesse orientar, de alguma forma, empresários, instituições e advogados.

Dias depois, esse cenário se modificou. Como amplamente noticiado, a construtora Cyrela Brazil Realty S/A Empreendimentos e Participações foi a primeira empresa condenada a indenizar em R$ 10 mil um cliente que teve informações pessoais compartilhadas com empresas estranhas à relação contratual. É importante destacar que cliente comprou o apartamento em 2018 e, a partir disso, teria sido assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré. 

É relevante ressaltar que, como visto, a ação do cliente é anterior ao início da vigência da LGPD, fato esse que deve ser observado pelos empresários. É certo, contudo, que além da LGPD, a sentença estava apoiada no Código de Defesa do Consumidor e dispositivos da Constituição Federal.

Essas ações revelam o potencial de corrida ao Poder Judiciário por parte, em sua maioria, de consumidores que se sintam violados em relação a seus dados pessoais. Essa circunstância é potencializada pelo fato de que a Autoridade Nacional de Proteção de Dados ainda não foi implementada e, por conseguinte, não há, ainda, as necessárias regulamentações da LGPD. 

Enquanto isso, só resta, especialmente, aos empresários acelerarem seus processos para conformidade à legislação, como forma de mitigação preventiva de potenciais passivos. A equipe do Prolik Advogados permanece à disposição para auxiliar seus clientes e interessados para a adequação jurídica à LGPD.

LGPD: em quais hipóteses o tratamento de dados pode ser realizado?

Izabel Coelho Matias e Letícia Marinhuk

A Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (“LGPD”), entrou recentemente em vigor e impôs, no ordenamento jurídico brasileiro, dentre outros aspectos, um novo olhar sobre o direito à liberdade e à privacidade de cada indivíduo.

A partir dela, foram estabelecidos limites e critérios que se aplicam para qualquer atividade que envolva o tratamento de dados  relacionado a uma pessoa natural identificada ou identificável, desde que a operação seja realizada no Brasil; verse sobre dados aqui coletados, ou tenha por objetivo a oferta, o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, além dos casos excetuados em lei.

Para tanto, a LGPD estabelece, em seu art. 7º, as chamadas “bases legais”, rol taxativo das situações em que o tratamento de dados pessoais está autorizado, sendo elas:

  • Mediante o fornecimento de consentimento pelo titular dos dados pessoais;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares a ele relacionados, do qual seja parte o titular e a pedido deste;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (“Lei de Arbitragem”);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nesse sentido, há que se ressaltar que, embora cada base legal possua o mesmo valor, sem que uma prevaleça sobre a outra, é necessário definir qual ou quais hipóteses autorizam o tratamento de dados, levando-se em consideração o contexto da atividade e os fundamentos que disciplinam a proteção dos dados, pois nem sempre será necessária a obtenção do consentimento do titular dos dados, de sorte que o “legítimo interesse” não se constitui como uma autorização geral e irrestrita para o tratamento.

Do contrário, não se enquadrando a finalidade do tratamento em nenhuma das autorizações legais acima indicadas, ou, sendo, tal tratamento, excessivo ou desnecessário à amplitude de sua finalidade, sujeitar-se-á, o agente, às sanções administrativas, que poderão variar desde uma simples notificação para a adoção de medidas corretivas até multa de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada ao valor máximo de R$ 50 milhões de reais por infração, sem exclusão da possibilidade de responsabilização judicial.

LGPD em vigor, e agora?

Por Dr. Eduardo Mendes Zwierzikowski

Confira o passo a passo de adequação

Após amplas discussões sobre quando iniciaria a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais dúvidas, ela está em vigor desde o dia 18 de setembro (embora as penalidades administrativas sejam aplicáveis somente a partir agosto de 2021). A partir de agora, todos aqueles que realizam operações de tratamento de dados pessoais, incluindo pessoas naturais ou pessoas jurídicas de direito público ou privado, devem a ela se adequar, mas por onde começar?

O primeiro passo de qualquer programa de conformidade com a LGPD envolve a realização de uma atividade de mapeamento ou inventário de dados. Por meio dessa atividade, busca-se entender quais são os dados pessoais, a sua origem, finalidade na utilização, se há política de descarte, compartilhamento; enfim, é uma etapa destinada a compreender o ciclo de vida dos dados.

Nesse diagnóstico inicial, são analisados contratos, propostas, políticas internas, como as de privacidade e cookies (quando existentes), além de outros documentos relativos às operações da empresa para avaliar as ações relacionadas ao tratamento de dados pessoais.

Diante da extensão do trabalho desenvolvido, ao final do mapeamento é possível elaborar um relatório de diagnóstico segundo o nível de maturidade da empresa, com a indicação de quais são as ações necessárias para garantir a plena aderência da organização à LGPD e os riscos relacionados ao tratamento de dados pessoais.

Já o segundo passo envolve a execução das ações propostas nesse relatório preliminar, com a revisão de minutas de contratos, elaboração de aditivos, estabelecimento de cláusulas padrão no caso de compartilhamento de dados pessoais, redação de novas políticas, criação de outros procedimentos internos destinados a estabelecer boas práticas no tratamento de dados pessoais e o treinamento de funcionários.

Se necessário, devem ser confeccionados relatórios de impacto à proteção de dados pessoais (DPIA), com a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Nessa segunda etapa, embora não seja uma regra, normalmente é constituído formalmente o comitê de privacidade e indicado o Encarregado pelo Tratamento de Dados Pessoais, pessoa física ou jurídica que possui a incumbência de aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências; receber e implantar as comunicações da autoridade nacional e orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Como visto, são inúmeras as tarefas necessárias para que a conformidade com a LGPD seja alcançada inicialmente, mas é imprescindível destacar que o programa de adequação deve ser constantemente revisto, especialmente após a constituição da Autoridade Nacional de Proteção de Dados Pessoais, órgão que disciplinará matérias pendentes de regulamentação na lei, o que demandará um esforço contínuo de adequação.

LGPD entra em vigor

Por Flávia Lubieska N. Kischelewski

Foi publicada nesta data a Lei nº 14.058/2020, fruto da conversão em lei da Medida Provisória nº 959/2020, sancionada pelo Presidente da República.

Como havíamos destacado em Boletim anterior, o Projeto de Lei de Conversão, no apagar das luzes, deixou de incluir a postergação do início da vigência da Lei 13.709/2018, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD).

Assim sendo, uma vez que o texto legal publicado nesta sexta-feira silencia sobre a LGPD, conclui-se que a legislação sobre dados pessoais passa a ser aplicável a entes públicos e privados a partir desta data (18/09/2020), embora suas penalidades incidam somente de 1º/08/2021 em diante.

É imprescindível, portanto, que os responsáveis por órgãos da administração pública, assim como os empresários, reforcem os esforços necessários para garantir a conformidade com a nova dinâmica de tratamento de dados pessoais. Mesmo que as advertências e multas administrativas ainda não possam ocorrer, o Poder Judiciário poderá ser acionado para solucionar litígios e, inclusive, decidir pelo pagamento de indenizações em virtude do descumprimento de direitos de titulares de dados pessoais.

A equipe do Prolik Advogados permanece à disposição para auxílio e esclarecimento de dúvidas sobre a nova legislação, bem como para projetos de adequação jurídica à LGPD.

Nova lei adia a aplicação de sanções da LGPD

Por Eduardo Mendes Zwierzikowski

A recente Lei que instituiu o Regime Jurídico Emergencial de Direito Privado (Lei Federal nº 14.010/2020) também alterou a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), a fim de adiar a imposição das suas sanções para 1º de agosto de 2021.

A entrada em vigor da própria LGPD já havia sido objeto da Medida Provisória nº 959, que postergou a sua eficácia plena para 03 de maio de 2021.

No quadro legislativo atualmente vigente, a LGPD deverá entrar em vigor em 03 de maio de 2021, mas as penalidades pelo seu descumprimento somente poderão ser cominadas três meses após, a partir de 1º de agosto daquele ano.

Destaque-se, contudo, que esses prazos não são definitivos, pois a MP nº 959 ainda não foi apreciada pelo Congresso Nacional. Na hipótese de ela ser rejeitada ou então perder a eficácia por ausência de apreciação do texto pelo parlamento, a vigência prevista originalmente para agosto de 2020 pode se concretizar, mas, nesse caso, com sanções apenas para agosto de 2021.

Caso a MP seja aprovada da forma como foi apresentada pela Presidência da República, tanto a vigência plena da LGPD, quanto a possibilidade de punição são diferidas para 03 de maio de 2021.

As sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados (pendente de criação) são as seguintes: (i) advertência; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos tributos, limitada, no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária; (iv) publicização da infração; (v) bloqueio ou eliminação dos dados pessoais ligados ao ilícito; (vi) suspensão parcial do funcionamento do banco de dados e do tratamento de dados ligados à infração pelo prazo máximo de 6 (seis) meses, prorrogável por igual período; e (viii) proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados.

A discussão quanto aos prazos de eficácia total ou parcial da LGPD (sanções), como visto, permanece aberta, mas fato é que a necessidade de adequação das empresas continua sendo necessária, pois a proteção de dados pessoais é uma realidade observada em muitos contratos empresariais e na atuação de autoridades públicas, como o Ministério Público do Distrito Federal e Territórios.

MP adia início da LGPD

Empresas não devem, entretanto, descuidar.

Por Eduardo Mendes Zwierzikowski e Flávia Lubieska

A Lei Geral de Proteção de Dados Pessoais (LGPD) nº 13.709/2018 teve a sua entrada em vigor adiada para 03 de maio de 2021,conforme Medida Provisória nº 959, publicada em 29/04/2020.

Antes mesmo da pandemia da COVID-19, havia dúvidas por de parte das empresas e de instituições públicas quanto ao adiamento da eficácia plena da LGPD, originalmente prevista para agosto de 2020, em razão da tramitação de alguns projetos de lei e também da demora na criação da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados e da Privacidade.

Já o Ministério Público Federal havia enviado, no último dia 14/04, nota técnica para o Congresso Nacional, defendendo que a LGPD entrasse em vigor em 20 de agosto de 2020, adiando-se para 2021 apenas a aplicação das sanções administrativas.

Apesar disso, a postergação do início da LGPD é uma realidade, embora a MP trate de vários assuntos ao mesmo tempo e não seja possível compreender a racionalidade existente no prazo escolhido pela União.

É necessário destacar, contudo, que a Medida Provisória possui força de lei e produz efeitos imediatos, mas dependerá da análise do Congresso Nacional para a sua transformação definitiva em lei. Como toda e qualquer MP, ela tem vigência de sessenta dias, prorrogáveis por igual prazo, no caso, o dia 29 de agosto de 2020.

Na hipótese de ela ser rejeitada pelo Congresso ou perder eficácia pela ausência de apreciação do texto, caberá ao parlamento a edição de um decreto legislativo para disciplinar os efeitos produzidos no ordenamento jurídico, enquanto a medida esteve em vigor. Essa situação seria capaz de manter a vigência prevista originalmente (agosto de 2020).

O Congresso poderá, ainda, alterar as disposições da MP, momento em que ela passa a tramitar como um Projeto de Lei de conversão, retornando para a Presidência da República para sanção ou veto parcial ou integral.

Diante do cenário completamente extraordinário em que vivemos, mostra-se relevante a prorrogação, tanto do ponto de vista econômico, mas principalmente para possibilitar um prazo maior para que as empresas que ainda não implantaram um programa de conformidade com a LGPD possam fazê-lo, de modo sereno e sem atropelos, sempre tendo como norte que, em agosto de 2020 ou maio de 2021, a lição de casa deverá ser feita.

Como o processo de adequação é relativamente demorado e como, mesmo antes da vigência da LGPD, grandes empresas já exigem a conformidade por parte de seus fornecedores, o prazo adicional conferido pela MP não deve servir como “conforto” para as empresas. Em tempos de ajustes econômicos, estar conforme com a LGPD pode ser um fator de destaque perante a concorrência.

Compartilhamento indevido de dados pessoais gera dano moral

Por Eduardo Mendes Zwierzikowski

O Superior Tribunal de Justiça (STJ) decidiu, recentemente, que o compartilhamento de bancos de dados com informações pessoais, sem a prévia comunicação ao consumidor, gera dano moral presumido, isto é, sem que seja necessária a prova do abalo à personalidade daquele que tem os seus dados difundidos indevidamente a terceiros.

O entendimento se baseou no dever de informação previsto no Código de Defesa do Consumidor (CDC), que impõe a obrigação de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro, dados pessoais e de consumo, quando não solicitada por ele.

No caso apreciado pelo tribunal, os dados pessoais de pessoa física eram comercializados por meio de um serviço denominado “know your customer” (conheça seu cliente, em tradução livre), que continha um relatório com diversas informações para empresas que necessitam confirmar dados cadastrais e realizar análise de concessão e recuperação de crédito.

Esse cenário deverá ser ampliado com a entrada da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020. O tratamento de dados pessoais ganhará um novo regramento, que ampliará significativamente a proteção dos usuários de produtos e serviços. Em contraponto, exigirá um amplo trabalho de adequação de todas as empresas, que também serão atingidas pela norma.

De maneira semelhante ao dever de informação do CDC, um dos princípios da LGPD é justamente a “transparência”, por meio da “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização de tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial” (art. 6º, inciso VI).

Assim, a decisão em apreço serve de alerta sobre as consequências do uso indevido de dados pessoais, de maneira desnecessária, inadequada ou sem um propósito legítimo, específico, explícito e informado ao titular, cujo dano poderá ser objeto de sanções administrativas ou indenizações civis, inclusive nos casos em que não existe prova de dano efetivo.

Como a LGPD vai impactar o departamento pessoal das empresas

Ana Paula Araujo Leal Cia

Flávia Lubieska Kischelewski

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2019) entrará em vigor em agosto de 2020 e as empresas deverão atentar-se para o impacto da legislação no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas, seja em meios físicos ou digitais. Nesse sentido, a lei não faz distinção entre o grande e o pequeno empresário, isso significa que todos terão, obrigatoriamente, que cumprir a legislação.

Igualmente, a lei, também, não trouxe disposições específicas sobre os impactos nas relações de trabalho, no entanto, diante da possibilidade de aplicação de penalidades altíssimas, que podem chegar até 2% do faturamento da empresa por infração, recomenda-se extrema atenção na utilização dos dados pessoais de trabalhadores pelas empresas.

É fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

Nesse sentido, durante toda a relação de trabalho o empregador se utiliza de dados pessoais dos trabalhadores, sendo preciso avaliar qual a chamada base legal adequada para cada operação de tratamento desses dados, pois o consentimento nem sempre será a resposta certa.

Além disso, é preciso prover segurança para resguardar a proteção das informações do empregado e refletir sobre qual, depois de encerrada esta relação, o período de guarda dos dados pessoais dos colaboradores. Esse último é um dos questionamentos que muitas empresas devem estar fazendo.

O empregador será o chamado controlador na relação relativa ao tratamento de dados pessoais. Assim, é sobre o empregador que recairão as responsabilidades pelas atividades que desenvolver e que envolver os dados pessoais de sua equipe. O empregador também terá o ônus da prova relativo à demonstração do consentimento, quando houver esta discussão e a necessidade dessa evidência, por exemplo.

Somados aos dados dos empregados, em inúmeros casos, o empregador tem acesso a dados pessoais dos dependentes destes, seja para planos de saúde, seja para outras finalidades. A responsabilidade do empregador é ainda maior nessas hipóteses, vez que se poderá ter acesso a dados pessoais sensíveis e informações de crianças e adolescentes.

Como lidar com todas essas situações? E o que fazer se for preciso transmitir as informações do empregado a terceiros, como um contador ou um advogado, por exemplo? Por quanto tempo devo manter o meu banco de dados?

A resposta não é uma apenas e cada circunstância deverá ser ponderada à luz da legislação aplicável, que não se limitará à LGPD.

No que concerne os prazos de manutenção, é importante destacar que, excluindo-se situações especiais, o empregador deverá manter, por no mínimo dois anos, após extinto o contrato de trabalho documentos relativos ao pacto laboral. Sendo esse o sentido do artigo 7º, inciso XXIX da Constituição Federal:

Art. 7º São direitos dos trabalhadores urbanos e rurais, além de outros que visem à melhoria de sua condição social:

(…)

XXIX – ação, quanto aos créditos resultantes das relações de trabalho, com prazo prescricional de cinco anos para os trabalhadores urbanos e rurais, até o limite de dois anos após a extinção do contrato de trabalho; (…)

Há que se dizer que, mesmo após a decisão judicial transitada em julgado, recomenda-se a guarda de documentos relativos ao vínculo de emprego diante da possibilidade de ingresso de eventual ação rescisória, cujo prazo é de dois anos contados do trânsito em julgado da última decisão proferida no processo, segundo o disposto nos artigos 836 da Consolidação das Leis do Trabalho e 975 do Código de Processo Civil, ressalvados os casos previstos nos parágrafos segundo e terceiro do artigo 975:

Art. 836. É vedado aos órgãos da Justiça do Trabalho conhecer de questões já decididas, excetuados os casos expressamente previstos neste Título e a ação rescisória, que será admitida na forma do disposto no Capítulo IV do Título IX da Lei no 5.869, de 11 de janeiro de 1973 – Código de Processo Civil, sujeita ao depósito prévio de 20% (vinte por cento) do valor da causa, salvo prova de miserabilidade jurídica do autor.

Art. 975. O direito à rescisão se extingue em 2 (dois) anos contados do trânsito em julgado da última decisão proferida no processo.

  • 1º Prorroga-se até o primeiro dia útil imediatamente subsequente o prazo a que se refere o caput, quando expirar durante férias forenses, recesso, feriados ou em dia em que não houver expediente forense.
  • 2º Se fundada a ação no inciso VII do art. 966, o termo inicial do prazo será a data de descoberta da prova nova, observado o prazo máximo de 5 (cinco) anos, contado do trânsito em julgado da última decisão proferida no processo.
  • 3º Nas hipóteses de simulação ou de colusão das partes, o prazo começa a contar, para o terceiro prejudicado e para o Ministério Público, que não interveio no processo, a partir do momento em que têm ciência da simulação ou da colusão.

Em sendo assim, destaca-se a necessidade de criação de programas internos de proteção de dados, com o suporte de especialistas, a fim de ser implementada a adequação à LGPD e para minimizar os riscos relacionados com a segurança da informação.

Esse programa, como visto, deverá inclusive compreender processos que disponham sobre etapas posteriores ao encerramento da relação de trabalho, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais deverão ser mantidos pela empresa.