LGPD e relações de trabalho: a figura do controlador

Por
3 min. de leitura

Diante das novas tecnologias de informação e comunicação (NTIC), aliadas ao fenômeno do big data, a sociedade, dominada que está pela chamada data driven economy ou economia dirigida por dados, viu-se premida da formulação de um verdadeiro pacto social para o tratamento de dados por parte dos atores econômicos, que deverão, a partir da nova regulamentação, observar novos e determinados parâmetros para suas operações de dados.

Nesse contexto, no dia 15 de agosto de 2018, foi publicada no Diário Oficial da União a Lei nº 13.709 de 14 de agosto de 2018, cuja ementa, à época, possuía a seguinte redação, verbis: “dispõe sobre a proteção de dados pessoais e alterava a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet)”. Posteriormente, foi publicada a Lei nº 13.853 de 8 de julho de 2019, que alterou dita ementa para fazer constar apenas “Lei Geral de Proteção de Dados Pessoais (LGPD)”.

A LGPD trouxe em seu bojo, para além de diversos outros pontos acerca da proteção de dados, a regulamentação dos chamados agentes de tratamento que, pela Lei, consubstanciam-se nas figuras do controlador e do operador (artigo 5º, inciso IX, da LGPD). Além disso, disciplinou a figura do Encarregado (artigo 5º, inciso VIII, da LGPD), conhecido no direito comparado como DPO – Data Protection Officer.

A identificação e conceituação dos agentes de tratamento de dados, especificamente nas relações de trabalho subordinado, revela-se de extrema importância e desempenha fundamental papel na interpretação e aplicação da Lei nº 13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados – no contexto das relações de trabalho subordinado.

Assim se afirma pois é a partir de tais providências que se poderá, na prática, determinar os responsáveis pelo cumprimento das normas sobre proteção de dados, bem como o modo pelo qual os titulares dos dados e até os próprios agentes de tratamento poderão exercer os seus direitos e cumprir suas obrigações.

Em meio a este cenário, o presente texto tem por finalidade o estudo, a identificação e a conceituação de uma das espécies de agentes de tratamento, que é a figura do Controlador, com especial enfoque na interseção da Lei Geral de Proteção de Dados com o Direito do Trabalho.

Com efeito, necessário o estudo setorial dos impactos da Lei Geral de Proteção de Dados no direito do trabalho. O desafio a ser enfrentado por todos aqueles que diariamente manuseiam o direito laboral será o de fazer a transposição normativa das regras e princípios da LGPD para a disciplina das relações de trabalho.

Contudo, é preciso ter em mente que a importação de normas gerais de proteção de dados para o direito do trabalho não se faz de maneira automática e irrefletida. Deverá o intérprete ter sempre em mente a principiologia própria que orienta o direito trabalhista, que serve como verdadeira válvula de contenção de importações indevidas.

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais (artigo 5º, inciso VI, da LGPD). Na GDPR, por sua vez, o controlador recebe a designação de “responsável pelo tratamento”, definido como “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais” (artigo 4º, item 7, da GDPR).

O controlador, grosso modo, é aquele que detém o domínio dos fatos em se tratando das operações de tratamento. Por isso a legislação europeia o denomina “responsável pelo tratamento”, justamente porque o controlador é quem irá determinar finalidades e os meios de tratamento dos dados pessoais, bem como a quem compete as decisões referentes ao tratamento de dados pessoais. Os conceitos da LGPD e da GDPR, como se nota, se complementam bem.

A definição constante da lei europeia divide-se em três grandes grupos constituintes, divisão está perfeitamente aplicável ao direito brasileiro: 1) o aspecto subjetivo: a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo; 2) a possibilidade de controle coletivo: que, individualmente ou em conjunto com outrem; e, 3) os elementos essenciais que permitem distinguir o responsável pelo tratamento (controlador) de outros intervenientes: determine as finalidades e os meios de tratamento dos dados pessoais. Tais entendimentos são perfeitamente aplicáveis à figura do controlador prevista na LGPD.

Na prática, para exata identificação do controlador, será preciso investigar casuisticamente quem, de fato, determinava o modo pelo qual os dados pessoais eram tratados. Se determinada entidade detinha o domínio sobre as operações de dados, isso implicará em sua qualificação como responsável pelo tratamento. Portanto, será controlador aquele que dá o comando para que se realize alguma operação de tratamento, pois é ele quem tem o poder de decisão sobre a realização da operação de tratamento.

Do ponto de vista trabalhista, o controlador será, em regra, o empregador, pois é ele quem realizará as operações de tratamento dos dados pessoais do titular, que é o empregado. Contudo, é preciso advertir que dentre as operações de tratamento, encontra-se, por exemplo, a hipótese de compartilhamento de dados. Neste caso, se os dados do empregado forem compartilhados, por exemplo, com empresa que faz a gestão da folha de pagamento esta, por sua vez, também se tornará controladora dos dados do empregado.

Por
3 min. de leitura