TUTELA CONSTITUCIONAL DA INTIMIDADE E AS RELAÇÕES DE TRABALHO:

ANÁLISE DOS IMPACTOS DA LGPD – ASPECTOS GERAIS DE ADEQUAÇÃO À LGPD

NAS RELAÇÕES DE TRABALHO

Marcio Eduardo Tenorio da Costa Fernandes1

Rodrigo Marinho Crespo2
Igor Rosa Cezário de Lima3

I. INTRODUÇÃO

A Emenda Constitucional nº. 115/2022 alterou o texto da Constituição Federal para

incluir a proteção de dados pessoais entre os direitos e garantias fundamentais, consoante nova
redação do artigo 5º da Carta, que passa a vigorar acrescido do inciso LXXIX: “é assegurado,
nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Como direito fundamental, a proteção de dados e a tutela do Estado nas relações

privadas passa a importar diretamente ao Direito do Trabalho, uma vez que a vulnerabilidade
informacional requer a necessária explicação do tratamento de dados pessoais para o seu titular.
Esse conceito decorre do entendimento de MONTEIRO4, que refere conexão entre os direitos
de informação e explicação, advindo do tratamento de dados pessoais na esfera consumerista.
Assim, o indivíduo teria garantido não apenas o direito à informação de quais dados são
coletados, por quanto tempo, a cadeia de custódia e o armazenamento desses dados, mas
também à explicação de como são tratados esses dados, ressalvada a garantia de segredo
industrial.

1
Marcio Eduardo Tenorio da Costa Fernandes é advogado empresarial, com experiência no mercado privado
internacional de tabaco, bem como para empresas do ramo de engenharia industrial. É graduado pela Universidade
do Estado do Rio de Janeiro (UERJ) e Membro-Presidente da Comissão de Direito do Comércio Internacional no
Instituto dos Advogados Brasileiros. É especialista em direito internacional e já foi conselheiro federal da OAB
no Rio de Janeiro.
2
Rodrigo Marinho Crespo é sócio fundador do Marinho & Lima Advogados. Possui ampla experiência em Direito
Civil Empresarial com ênfase em Contratos e Direito Processual Civil. Formou-se em 2005 pela Pontifícia
Universidade Católica do Rio de Janeiro (PUC-RJ) e cursou pós-graduação em Direito Civil Empresarial
(Contratos) pela FGV em 2008.
3
Igor Rosa Cezário de Lima é advogado, graduado em 2022 pela Universidade Federal Fluminense (UFF), com
especialização em andamento (2023) na Pontifícia Universidade Católica do Rio Grande do Sul (PUC-RS) em
Direito e Processo do Trabalho.
4
Apud VERBICARO, SANTOS, MOTTA, BISMARCK et VIEIRA, 2022. Direitos da vulnerabilidade na era do
capitalismo de plataforma: perspectivas consumerista e trabalhista / coordenação Dennis Verbicaro, 1ª Ed. Brasilia,
DF: Editora Venturoli 2022.
 Nesse sentido, a Lei nº. 13.709/2018 (LGPD) qualifica o consentimento com finalidade
determinada, a qual deverá ser demonstrada, apontada ou indicada no instrumento que prevê a
coleta de dados pessoais. A explicação da finalidade do tratamento de dados é, portanto,
condição que visa suprir a vulnerabilidade informacional e permitir o tratamento em condições
de adequação à norma vigente, ressalvada, nos termos da Lei, a garantia de segredo industrial.

II. PRIVACIDADE E INTIMIDADE

Para prosseguir à análise da tutela dos dados pessoais nas relações de trabalho, é preciso
dirimir uma falsa identidade atribuída aos direitos de proteção de dados, à privacidade e à
intimidade (FERREIRA, KOURY, JACOB, 20225). Isso porque o conceito de intimidade,
abarcado no cerne da privacidade do indivíduo, é mais restrito do que a privacidade, uma vez
que intimidade não inclui todos os considerados dados pessoais de um indivíduo.
São considerados íntimos os dados pessoais sensíveis: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural (BRASIL, 2018, itálico nosso).
A proteção dos dados pessoais nas relações de trabalho é de suma relevância, uma vez
que as partes devem ajustar toda e qualquer forma de coleta e armazenamento de dados pessoais
de forma específica no curso do contrato de trabalho, desde as mais simples até as mais
complexas.

No contexto da LGPD aplicada às relações de trabalho, o tratamento de dados pessoais

poderá ser realizado nas hipóteses de consentimento do titular, para o cumprimento de
obrigações legais ou regulatórias, para o exercício regular de direito, proteção da vida ou
incolumidade física do titular ou de terceiros, ou quando necessário para atender aos interesses
legítimos do controlador, ressalvados os casos de prevalência dos direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.

Destaque-se que, no âmbito do contrato sinalagmático de trabalho e, diante do caráter

protetivo da Justiça do Trabalho, é recomendável que as informações somente sejam coletadas
com o consentimento do titular, na forma do inciso XII do artigo 5º da referida Lei, salvo
justificativa relevante, que possa ser comprovada conforme o ônus da prova imputado ao
empregador na Lei 13.709/2018 e na Consolidação das Leis do Trabalho (CLT).

É válido destacar que o consentimento não pode ser fornecido de forma esvaziada, mas
sempre para uma finalidade determinada, sendo imperativo observar o prazo de duração da
guarda e armazenamento de dados pessoais.

5 FERREIRA, Otávio. KOURY, Suzy. JACOB, Valena. “Da tutela da privacidade à proteção autônoma de
dados: parâmetros para a proteção dos dados do trabalhador”.
 Isto é, o consentimento para obtenção de informações bancárias com a finalidade
determinada de realizar o pagamento de salário em conta corrente ou pagamento não prevê
autorização para o compartilhamento de informações bancárias com terceiros, seja para fins de
mera consulta ou obtenção de proveito econômico, sob pena de violação à LGPD. Além disso,
a permissão para realização de estudos é assegurada aos órgãos de pesquisa, não sendo
recomendável a interpretação ampliativa dessa prerrogativa para terceiros, especialmente se não
for possível cumprir a recomendação de anonimização dos dados pessoais.

Da mesma forma, as avaliações de risco e exames médicos periódicos, para fins legais
de saúde e segurança do trabalho, não merecem compartilhamento indevido com terceiros, nem
acesso indiscriminado dentro da própria hierarquia organizacional. Caso um empregado
requeira acesso a sua documentação, esses dados deverão estar localizados e armazenados em
departamentos específicos, que não deverão compartilhar informações sem que haja expressa
previsão contratual ou lei específica que o permita.

Sanções disciplinares, por exemplo, deverão ter prazo de guarda e vedação de uso
compartilhado, independentemente de se tratar de conteúdo sensível, uma vez que a sua
exposição é capaz de provocar prejuízo (lesão a direito da personalidade) ao empregado perante
terceiros.

Observe-se, ainda, que alguns dados pessoais, embora privados, não são sensíveis. A
título de exemplo, a localização do empregado requer o consentimento da coleta desse dado
pessoal, que não é sensível, porque não diz respeito ao rol do artigo 5º, II da Lei 13.709/20186.

Destaque-se que o consentimento da coleta dos dados pessoais de localização no

trabalho não justifica a coleta indiscriminada de dados de geolocalização fora do horário de
trabalho. A jurisprudência indica, ainda, que o não fornecimento de consentimento para
obtenção de dados pessoais específicos (como, por exemplo, a geolocalização) durante o
contrato de trabalho acarreta, por consectário lógico, a impossibilidade de obter consentimento
posterior em sede judicial, senão em hipótese que justifique a quebra de sigilo de dados pessoais
(em ultima ratio).

Desse modo, o empregador é o principal agente de tratamento de dados pessoais na

relação de trabalho.

Por outro lado, determinados empregados ligados ao mercado de trabalho corporativo,

bem como escritórios de advocacia e consultorias, têm acesso a informações confidenciais e
relevantes. Atuam, por vezes, como agentes de tratamento de dados de outros empregados em
sua própria hierarquia organizacional. Na dicção do inciso XVI do artigo 5º da LGPD, tais
empregados podem, ainda, atuar como prepostos ou representantes do empregador perante
outras pessoas jurídicas, reciprocamente, a exemplo da hipótese de uso compartilhado de dados.

6
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (BRASIL, 2018)
 Por isso, a gestão e o armazenamento de dados pessoais devem atender aos crescentes
níveis de confidencialidade em uma cadeia organizacional, sempre mediante o consentimento
do trabalhador acerca dos dados que estão sendo coletados, ao mesmo tempo em que devem
estar disponíveis para o titular nos termos do artigo 18 da Lei Geral de Proteção de Dados (“Lei
13.709/2018”).

III. DESAFIOS DA LGPD NA SEARA TRABALHISTA

Como se vê, a LGPD trata de responsabilidades sérias, que visam afastar e coibir o
mercado informal de tratamento e, por vezes, comercialização de dados pessoais no Brasil.

A elevação constitucional da proteção de dados formaliza o caráter constitucional de um

direito que, per si, possui natureza de direito fundamental, de caráter individual e coletivo, com
ênfase nos direitos à liberdade e à privacidade.

Sendo assim, um dos primeiros desafios da proteção de dados pessoais na esfera

trabalhista é, certamente, a anonimização (quando possível) dos dados dos empregados,
especialmente aos dados pessoais sensíveis, uma vez que a legislação brasileira confere
expressa proteção a essa categoria de dados, que pode representar exposição ao risco para
empresas que desrespeitem o estatuído em lei, sob pena de advertências e multas pela ANPD.

Nesse espeque, outro desafio da normativa é a compatibilização com o princípio da

publicidade dos atos processuais, insculpido no artigo 5º, LX da Constituição Federal7.

O princípio que visa resguardar o devido processo legal, a ampla defesa e o

contraditório, acaba por ferir parcialmente o inciso LXXIX, uma vez que disponibiliza
“informações relacionadas a pessoa natural identificada ou identificável”, que é o exato
conceito de “dado pessoal” consoante artigo 5º, inciso I da LGPD.

Esse conflito aparente de normas constitucionais em abstrato é símbolo de somente uma

das dificuldades de assimilação da normativa sobre dados pessoais em nosso ordenamento
constitucional. Vejamos outras, referentes, por exemplo, aos processos admissionais e
demissionais, que muitas vezes se utilizam de consultorias especializadas, mormente para
cargos considerados de alto escalão ou high grade.
É permitido ao recrutador de RH próprio ou terceirizado compartilhar o perfil de um
candidato antes de informar ao titular dos dados pessoais que ele está sendo “alvejado” para
uma vaga? Como deve ser realizada a contratação de RH terceirizado para fins de gestão de
mão de obra própria das empresas de grande porte? A resposta deverá prestar observância à
LGPD e minimizar os riscos possíveis e existentes.

Muito utilizado na linguagem corporativa, o próprio termo head hunting intui uma
avaliação primária do candidato pelo empregador ou recrutador, que busca preencher as
melhores vagas com os melhores profissionais possíveis, por vezes, investigando situações de

7
LX - a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse
social o exigirem;
emprego anteriores dos candidatos – seja por meio de ligações telefônicas ao local de trabalho
ou questionamentos informais off the record.

Com a vigência da LGPD, esse tipo de prática deve ser coibida, uma vez que há formas
lícitas de obter o consentimento informado de pessoas físicas para avaliação de experiências
anteriores sem incorrer ao risco de uma lesão a direito da personalidade ou imposição de
penalidade pela Autoridade Nacional de Proteção de Dados Pessoais.

Vale analisar o julgado do Tribunal Regional do Trabalho da 9ª Região, que reconheceu

lesão extrapatrimonial por violação ao artigo 2º, I, da Lei 13.709/18, uma vez que o dispositivo
estabelece o “respeito à privacidade como um dos fundamentos da disciplina da proteção dos
dados pessoais”, maculado pela disponibilização de nome completo e número de celular da
reclamante como canal de contato oficial da empresa após a sua demissão.

Trata-se de uma situação em que o Tribunal verificou ofensa à privacidade, “uma vez
que, nos dias atuais, o resguardo do nome e do número de celular consubstancia aspecto
crucial da proteção da personalidade humana”.

O fato, que pode ser lido como mero equívoco do empregador, caracterizou lesão à
esfera pessoal do titular de dados pessoais – entendimento que fora mantido pelo Tribunal
Superior do Trabalho. A sanção aplicada foi tarifada como “de natureza leve”, contudo, nos
leva a considerar qual seria o entendimento da Justiça do Trabalho em relação a uma
investigação prévia à admissão no emprego, como o histórico de trabalho de um ex-empregado.
A situação hipotética de um contato telefônico, por exemplo, para troca de informações
pessoais acerca do trabalho de um possível funcionário a ser contratado constituiria igual
violação? De acordo com o artigo 7º, incisos I, V e §5º, a utilização pré contratual e o uso
compartilhado de dados devem observar as seguintes diretrizes:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular; (...)

V - quando necessário para a execução de contrato ou de procedimentos preliminares

relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que
necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter
consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do
consentimento previstas nesta Lei.

O encadeamento lógico previsto pela lei exige que o titular dos dados forneça
consentimento (manifestação livre, informada e inequívoca) para tratamento de seus dados com
a finalidade específica de compartilhar seus dados para fins de recrutamento, avaliação e
seleção ou, se houver outra finalidade, especificá-la.

A adequação acarreta ônus da prova do empregador nos termos do §2º do artigo 8º da

referida lei, cabe ao controlador o ônus da prova de que o consentimento em conformidade
com o disposto nesta Lei, sendo certa a vedação do tratamento de dados mediante vício de
consentimento (§3º do artigo 8º) e a finalidade determinada para o consentimento, sob pena de
nulidade (§4º do artigo 8º).
 Cuida-se para que os contratos celebrados em relações de trabalho e prestação de serviços
com ou sem vínculo empregatício observe o relevante papel do compliance de normas
trabalhistas e do tratamento de dados pessoais. Trata-se de requisito imprescindível para que
esse tipo de informação não extrapole as competências e os limites nos quais o controlador de
dados pode utilizá-los, sob pena de caracterização de ato ilícito e indenizável, conforme
entendimento esposado pelo julgado do Tribunal Regional do Trabalho da 9ª Região.
No que diz respeito à territorialidade desses dados, especialmente para trabalhadores
remotos e nômades digitais, uma observação pertinente em relação à territorialidade dos dados
em tratamento, uma vez que o artigo 3º da Lei 13.709/18 dispõe:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou
por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou

serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se

encontre no momento da coleta.

§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso

IV do caput do art. 4º desta Lei. (...) Art. 4º, IV - provenientes de fora do território nacional
e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de
tratamento brasileiros ou objeto de transferência internacional de dados com outro país que
não o de proveniência, desde que o país de proveniência proporcione grau de proteção de
dados pessoais adequado ao previsto nesta Lei.

Para o legislador, é tecnicamente irrelevante se a operação econômica, administrativa e

burocrática do empregador se dê fora das fronteiras brasileiras, desde que sejam objeto de
comunicação ou uso compartilhado com agentes brasileiros. Caso não o sejam, a sua
excepcionalidade ao tratamento previsto na LGPD depende, ainda, de que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na
legislação brasileira.
Consoante o artigo 5º, X da LGPD, o tratamento de dados é:
“toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;” (BRASIL,
2019) grifos nossos.

Logo, o acesso a dados pessoais já se configura tratamento de dados nos termos da

normativa vigente. Outrossim, o acesso a dados pessoais sensíveis ou não de crianças e
adolescentes, nos termos da Seção III da LGPD, artigo 14º, constitui categoria privilegiada, que
deverá contar com o consentimento específico e em destaque dado por pelo menos um dos pais
ou pelo responsável legal.
 No tópico das relações de trabalho, o consentimento obtido em relação aos dados
pessoais de crianças e adolescentes possui relevo tanto no cumprimento das cotas de menor
aprendiz (Lei do Aprendiz, nº 10.097/2000), quanto na divulgação de suas vagas, realização de
cursos de capacitação e armazenamento de dados. Como de praxe nas demais relações de
trabalho, as diretrizes para o tratamento adequado de dados pessoais devem ser observadas
desde a fase pré-contratual até depois de efetivada a rescisão da relação de emprego.

As ferramentas tecnológicas que permitem a prestação de serviços por meios

telemáticos (sejam plataformas, aplicativos ou estações de computador tradicionais) estão
autorizadas a realizar o tratamento dos dados de seus subordinados e contratados para a legítima
execução dos serviços, conforme artigo 7º, incisos V e IX:
V - quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (...)

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro,

exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais; ou

A contraposição que diz respeito o inciso IX chama atenção para os dados pessoais
sensíveis, uma vez que abre exceção para a prevalência de direitos e liberdades fundamentais
do titular que exijam a proteção de dados pessoais. FALCÃO e BIZZOCHI (2022) destacam a
questão do trabalho remoto ou home office, que aventa dificuldades no tratamento na garantia
dos requisitos de segurança de dados previstos na LGPD.

Como vimos, a adoção de procedimentos de bulking de dados e anonimização de dados

pessoais para tratamento nos termos da LGPD é uma atividade complexa dentro de estruturas
organizacionais empresariais, especialmente quando a distribuição logística está ramificada em
diferentes países do globo.

No caso de trabalhadores remotos e home office, é essencial a previsão de que a

responsabilidade pela garantia da proteção dos dados pessoais tratados pelos agentes de
tratamento internos e possíveis agentes de tratamento externos (terceirizados, por exemplo) seja
compartilhada em uma proporção ideal.

Não é razoável esperar a proteção e a segurança de um provedor qualificado da mesma

forma que se espera de um profissional que trabalhe de casa, utilizando seu computador pessoal.
A realização de tarefas online em rede doméstica, sem a proteção adequada, pode acarretar
responsabilidade tanto para o operador, quanto para o controlador, destacando-se os casos em
que o agente de tratamento tenha agido com negligência.

Nesse sentido, destaca-se a utilização de redes privadas virtuais (VPN’s ou virtual

private network) como uma possível solução estruturada para que os departamentos de
tecnologia de informação possam prover a segurança necessária para os agentes de tratamento
de dados. Não obstante, devem ser observadas ainda as normativas próprias dos agentes de
tratamento e os ajustes realizados em suas cadeias de produção para utilização de equipamentos
próprios ou corporativos e vedação do uso com desvio de finalidade.
 A Justiça do Trabalho possui histórico protetivo da intimidade do trabalhador, contudo,
é visto que o segredo de negócio ou segredo industrial constitui informação com peso de direito
fundamental para o empregador, sendo certo que este poderá dispor de todos os meios eficazes
para a sua preservação, como por exemplo, mas não se limitando a utilização específica de
equipamentos fornecidos pelo empregador para os fins por ele destinados. Em outras palavras,
o telefone ou o computador corporativo, a título de exemplo, não devem ser utilizados para fins
pessoais, sendo certo que o comprometimento de informações e a quebra da cadeia de custódia
dos dados protegidos pela LGPD pode acarretar responsabilidade do agente de tratamento de
dados.

Essa quebra da proteção dos dados pessoais pode ocorrer de forma virtual ou
sistemática, por meio de ataques em rede ou mesmo por acidente de percurso, perda, roubo,
negligência ou imperícia do agente de tratamento responsável pelos dados e/ou equipamentos
vulnerados. Nos termos do artigo 43 da LGPD, os agentes de tratamento só não serão
responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes
é atribuído, que embora tenham realizado o tratamento, não houve violação à LGPD ou, ainda,
que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Observa-se, ainda, que a lei determina aos agentes de tratamento a adoção de medidas
de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito. Consoante parágrafo único do artigo 44 da
LGPD, são responsáveis pelos danos decorrentes de violação de segurança o controlador ou o
operador que, ao deixar de adotar as medidas de segurança previstas, derem causa ao dano.

Por esse ângulo, é possível o compartilhamento da responsabilidade pelo tratamento de

dados pessoais na vigência das relações de trabalho?

Nos termos do artigo 2º da CLT, o empregador deverá assumir o risco da atividade

econômica, logo, a perspectiva celetista para o caso é de que a responsabilidade deverá ser do
empregador. Contudo, isso não exime o empregado de suas obrigações derivadas do contrato
de trabalho, que deverá elencar de forma específica suas responsabilidades e níveis de acesso a
dados pessoais, sob pena de sanções administrativas e disciplinares pelo empregador e
enquadramento nas hipóteses de rescisão por justa causa, conforme artigo 482 e alíneas da
CLT8.
Além disso, o empregado também poderá se expor aos riscos de uma responsabilização
civil, fora da esfera da relação de trabalho, em decorrência de deveres possivelmente violados.

No que se refere à contratação de pessoas jurídicas ou pessoas naturais fora da condição

de empregado, os prestadores de serviço deverão considerar a elaboração e a revisão contratual
de suas obrigações de trabalho com rigor e atenção, uma vez que a LGPD prevê expressamente

8
Nota dos autores: a saber, possuem especial relevância as alíneas “b”, “e”, “g”, “j” e “k” em relação aos deveres
e obrigações relativos a proteção de dados nas relações de trabalho, com o fito de responsabilização trabalhista do
empregado por justa causa no contrato de trabalho.
a observância das “técnicas de tratamento de dados pessoais disponíveis à época em que foi
realizado” como medida de segurança que o titular de dados pessoais pode esperar.

Em outras palavras, o tratamento que não obedeça aos melhores critérios de boas
práticas e segurança da informação, seja em relação ao modo pelo qual é realizado ou aos
resultados e riscos que deles se esperam, incorrerá na hipótese de tratamento irregular de dados,
consoante artigo 44 da LGPD.

Por parâmetro de referência, o artigo 50, da LGPD, prevê que os controladores e

operadores, no âmbito de suas competências, de forma individual ou por meio de associações,
poderão formular regras de boas práticas e de governança – o que possui importância
fundamental no contexto da lei, já que em diversos momentos a norma faz referência aos
conceitos de tecnologia disponível para tratamento de dados.

Logo, se há uma associação de agentes de tratamento que formulam as melhores práticas

de governança e segurança de dados, a legítima expectativa do titular de dados pessoais
(conforme artigo 44, caput e inciso II) passa a receber contornos objetivos passíveis de
padronização e fiscalização pela Autoridade Nacional, por exemplo.

Além disso, em hipótese de responsabilização, é válido mencionar que a legislação

prevê adoção de procedimento administrativo que possibilite a oportunidade de ampla defesa,
de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e
considerados os parâmetros e critérios dos incisos I a XI do §1º do artigo 52 da Lei 13.709/2018.

Merecem destaque os critérios dos incisos VIII a X, quais sejam a adoção reiterada e
demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados
ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º
do artigo 48 da LGPD, bem como a adoção de políticas de boas práticas, governança e a pronta
adoção de medidas corretivas.
O legislador elencou medidas sancionatórias de impacto gradativo, partindo desde a
advertência simples, com praz para indicação de medidas corretivas às infrações cometidas às
normas previstas na LGPD, até medidas que determinam a eliminação de dados pessoais,
suspensão parcial ou total do exercício de atividades relacionadas a tratamento de dados e multa
simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado
no Brasil em seu último exercício, limitada, no total, a R$50.000.000,00 (cinquenta milhões de
reais) por infração.

Espera-se que a dosimetria das sanções aplicáveis, cuja responsabilidade é da

Autoridade Nacional de Proteção de Dados, de fato respeite os critérios de boa-fé, condição
econômica e vantagem auferida ou pretendida pelo infrator, a fim de que não se criem
precedentes de aplicação de multas estritamente disciplinares, na forma dos punitive damages,
que são incompatíveis com o ordenamento jurídico brasileiro.
 É válido destacar, ainda, que a imposição de multa administrativa é revertida ao Fundo
de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio
ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico,
paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos9.

A investigação da ANPD em relação a possíveis violações do direito à proteção de dados

pessoais não se confunde com a discussão processual e eventual responsabilização do agente
de tratamento na esfera do processo do trabalho.

Isso porque, independentemente de mover processo judicial, o titular de dados pode

ingressar com denúncia através do site da ANPD, visto que a Lei assegura ao indivíduo o direito
de petição em relação aos seus dados contra o controlador perante a autoridade nacional,
conforme artigo 18 da LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados
do titular por ele tratados, a qualquer momento e mediante requisição:

Por consectário lógico da concretização de direito fundamental, conforme a EC-

115/2022, artigo 5º, LXXIX, a ANPD disponibiliza canal de atendimento ao cidadão para
denúncias e petições de titular de dados pessoais. A medida visa sistematizar e facilitar o envio
de requerimentos ao órgão, bem como acompanhar o processo eletrônico na instância
administrativa da ANPD.

IV. CONSIDERAÇÕES FINAIS

A Lei 13.709/2018 não foi o primeiro instituto normativo a regulamentar a esfera da

privacidade e da intimidade digital no Brasil. Desde 1988, a Constituição Federal trouxe em
seu artigo 5º a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas.
Além disso, a Lei 9.296 de 1996 regulamentou o inciso XII, parte final, do artigo 5º da
Constituição Federal na seguinte medida:
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e
das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na
forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
(Vide Lei nº 9.296, de 1996)

Dessa forma, o ordenamento jurídico brasileiro possui uma tradição de proteção à

intimidade que perpassa o sigilo das correspondências e telecomunicações, bem como
reconhece a hipossuficiência das figuras de consumo em relação aos bancos de dados desde o
Código de Defesa do Consumidor, que foi publicado no Diário Oficial em 1990.

A LGPD, contudo, formaliza e delimita conceitos anteriormente inespecíficos e

inexistentes no seio das relações informacionais, com aplicabilidade ampla no Direito do
Trabalho.

9
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria
 Além disso, trata-se de uma norma que possui larga correspondência com o GDPR
Europeu, o que demonstra seu avanço na proteção dos dados pessoais e compromisso com os
padrões internacionais de segurança e boas práticas de tratamento de dados.

Tal como no Direito do Consumidor, a hipossuficiência do trabalhador na Justiça do

Trabalho tem sido presumida em praticamente todos os casos, o que, por vezes, pode gerar
inconsistências de julgamento em relação ao que efetivamente ocorre durante as relações de
trabalho. No âmbito da proteção de dados pessoais, é possível aspirar a uma judicialização
restrita das denúncias e petições de titulares, uma vez que a ANPD possui como objetivo tratar
as questões da LGPD de forma administrativa.

Não obstante, é necessário avançar na forma em que se realiza o tratamento de dados

pessoais e nos benefícios que o tratamento adequado pode trazer tanto para empregados, quanto
empregadores. A normativa trabalhista tem evoluído, a partir da perspectiva do direito negocial
do trabalho, para prestar maior adequação ao modelo juslaboralista da Constituição Cidadã, que
prevê a autonomia coletiva e a prevalência dos acordos coletivos de trabalho.

Dessa forma, as hipóteses de organização coletiva disponíveis em lei devem ser

amplamente utilizadas. Isso porque tanto a própria LGPD, quando dispõe acerca da formação
de associações em seu artigo 50, quanto a Constituição e a CLT, ao ressaltarem o poder da
norma coletiva, privilegiam a resolução autônoma de conflitos e a previsão das “regras do
jogo”, com visibilidade, transparência e equidade.