FOCO GDPR e funcionários: qual o enquadramento legal?

Legal Watch – maio de 2019.

Dois casos recentes envolvendo uma grande livraria online levantam questões sobre a margem de manobra dos funcionários ao processar os dados pessoais dos clientes da empresa.

Embora o processamento de dados agora seja regulamentado em detalhes por lei e por inúmeras diretrizes — sejam as da CNIL ou do Conselho Europeu de Proteção de Dados (EDPB) — as responsabilidades dentro da própria empresa ainda levantam muitas questões.

Qual é a responsabilidade do empregador em relação ao modo como seus funcionários processam dados pessoais? Alguns princípios devem ser considerados:

O âmbito de aplicação do RGPD é amplo[1]. De facto, o tratamento automatizado de dados pessoais abrange operações efetuadas sobre dados através de software tradicionalmente utilizado nas empresas: bases de dados, correio eletrónico, folhas de cálculo, por exemplo, bem como, quando aplicável, o tratamento de dados efetuado através de software de processamento de texto.

A responsabilidade pelas ações dos funcionários geralmente cabe ao empregador, de acordo com o Código Civil2, mas também de acordo com o GDPR, porque o empregador é o controlador de dados: é o empregador quem define os meios e propósitos do processamento, dentro do significado da lei3.

Pelo mesmo motivo, o empregador será responsabilizado em caso de violação de segurança, mesmo que esta resulte de ações de um empregado, pois é o empregador quem tem a obrigação de proteger os dados dentro de sua empresa4.

Se o empregador for responsável perante terceiros, ele pode, naturalmente, tomar medidas contra o empregado que agiu ilegalmente, em particular por abuso de confiança ou fraude, e impor uma sanção disciplinar ou até mesmo a demissão. Acessar ou manter acesso fraudulento a todo ou parte de um sistema automatizado de processamento de dados também é considerado crime.

Independentemente da responsabilidade do empregador, o empregado também pode assumir sua própria responsabilidade perante seu empregador, mas também perante terceiros: o empregado que se desvia das instruções dadas pelo empregador e persegue seus próprios objetivos torna-se ele próprio responsável pelo processamento, na acepção da lei (veja a análise do Grupo de Trabalho Europeu sobre o Artigo 29 6 – agora CEPD).

O mesmo se aplica se ele violar o estatuto de TI da empresa ao usar os dados para sua própria conta.

Concluindo, é essencial que o empregador tome as seguintes precauções:

• Definir com precisão as finalidades e os meios de tratamento e levar esta estrutura ao conhecimento dos funcionários
• Peça-lhes que assinem uma cláusula de confidencialidade anexada ao contrato de trabalho, bem como uma carta de TI
• Envolva o DPO e o conselho de empresa na preparação desses documentos.

Essas precauções terão o duplo benefício de proteger melhor as pessoas cujos dados são processados e de esclarecer a responsabilidade do empregador em caso de abuso.

Vale ressaltar que os funcionários também se beneficiam da proteção de sua privacidade – e de seus dados pessoais – no local de trabalho. Este assunto será objeto de futuras discussões.

E também:

Na França:

Em 15 de abril, a CNIL publicou seu relatório de atividades e anunciou que concentraria suas futuras auditorias no respeito aos direitos das pessoas, no tratamento de dados de menores e na distribuição de responsabilidades entre o controlador e o subcontratado.

Agora presidida por Marie-Laure Denis, a CNIL tem uma nova faculdade.

Na Europa:

Em 12 de abril, o CEPD adotou diretrizes sobre a coleta de dados no contexto dos serviços da sociedade da informação, com foco específico na base jurídica para a coleta no contexto de uma relação contratual com o cliente (Artigo 6.º, n.º 1, alínea B), do RGPD). Este texto está sujeito a consulta pública até 24 de maio.

No mundo:

A Nigéria adota uma lei de proteção de dados semelhante ao GDPR.

1 Artigos 2.1. e 4 1) e 2) GDPR.

2 Ver em especial o artigo 1242, parágrafo 1 e parágrafo 5 do Código Civil.

3 Artigo 4.7) RGPD.

4 Artigo 32 do RGPD.

5 Artigo 323-1 do Código Penal.

6 Página 16