Com a entrada em vigor da LGPD, muitas empresas correram para nomear seu respectivo Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”). Muitos profissionais assumiram esse papel com um questionamento em comum: O nomeado para ocupar um cargo celetista como Encarregado tem responsabilidade civil na pessoa física? O objetivo deste texto é responder a essa pergunta realizando uma interpretação sistemática do texto normativo da LGPD, com destaque para sua integração com as normas que regem a relação trabalhista e as relações civis.
A legislação de proteção de dados (em especial, o artigo 6º, inciso X, e artigo 42 da LGPD) deixa claro que a responsabilidade pelo cumprimento eficaz das normas de proteção de dados pessoais é do respectivo agente de tratamento (Controlador ou Operador).
Paralelamente, nas relações de trabalho, o artigo 2º da CLT prevê que a responsabilidade pela atividade econômica é do Empregador - afinal, o desenvolvimento das regras de negócios e até da assunção de riscos delas decorrentes faz parte do exercício da livre iniciativa em que se fundamenta a atividade empresária. Inclusive, o STF, através da Súmula 341, manifestou o entendimento de que a responsabilidade do empregador pelos atos culposos praticados pelo empregado é presumida - a chamada responsabilidade objetiva.
Dessa forma, para que o Empregado seja responsabilizado por ato ilícito, é necessária a comprovação por parte do Empregador de que o primeiro teve a intenção de atingir o resultado danoso (dolo) ou que, agindo de forma culposa (com imprudência, negligência ou imperícia), teve como resultado comprovado pelo Empregador o dano involuntário.
O tema da responsabilidade civil nas relações de trabalho depende, ainda, da interpretação conjunta do artigo 462, §1º da CLT com os artigos 186, 927 e 934 do Código Civil brasileiro. E por interpretação dos artigos citados, conclui-se que, para que o Empregado seja responsabilizado por ato ilícito praticado no exercício de sua atividade, é necessária a comprovação de que este agiu com dolo (intenção) ou culpa (as já mencionadas imprudência, negligência ou imperícia), e, para esta última, além da comprovação ainda é necessária previsão contratual para ressarcimento com base em culpa.
Considerando tais previsões legais, bem como que o vínculo trabalhista celetista evidencia a subordinação em grau absoluto entre o Controlador e o Encarregado (cuja obrigação é de meio, e não de fim), a responsabilidade do Encarregado não é pessoal, uma vez que, na condição de celetista, deve observar as regras internas da organização e está sujeita às decisões, inclusive de negócios, tomadas pelo corpo estratégico da organização (como o Conselho Administrativo, Diretoria, Sócios, Administradores, por exemplo). Assim, o Encarregado está destituído de qualquer poder final decisório.
Semelhantemente ao que ocorre com o papel do Compliance Officer, a delegação das funções e atividades desacompanhada da respectiva transmissão de competência decisória configura delegação parcial de competência, e não integral, e exclui o Encarregado da posição de garantidor do resultado. A Diretoria permanece, portanto, com a posição originária de garantidora do cumprimento da legislação de proteção de dados pessoais e privacidade, nos termos da própria LGPD.
Dessa forma, qualquer eventual responsabilidade civil na pessoa física do Encarregado somente seria possível, pela legislação, em caso de ação ou omissão com dolo comprovado, uma vez que até mesmo a culpa é relativizada pela subordinação trabalhista. A responsabilidade por culpa decorrente das relações de trabalho considera o fato de não haver autonomia para tomadas de decisão em certos temas - especialmente para decisões de negócio e de risco. É inerente ao vínculo trabalhista a submissão do empregado às decisões do empregador.
Cabe a cada organização realizar a gestão de seu negócio perseguindo a sua função social e, na condução do objeto social, tal qual acontece com as áreas consultivas (como jurídico e compliance), ela deve ser informada e orientada pelo Encarregado sobre como estar em conformidade com as leis e normas que regem a proteção de dados e a privacidade, mas permanece livre para assumir riscos e seguir ou não, em suas tomadas de decisão, as recomendações feitas pelo Encarregado.
Como conclusão, o nomeado para ocupar um cargo celetista como Encarregado não pode ser responsabilizado, por padrão, na pessoa física em decorrência da execução de sua função. A única exceção cabível a essa previsão seria eventual ação ou omissão com dolo, o que exigirá comprovação do nexo de causalidade entre o fato intencional por ele praticado e o evento danoso ao empregador ou a terceiros - seja em matéria de proteção de dados pessoais ou em qualquer outro tema regulado pela legislação.
___________
*Daniela Monte Serrat Cabella é Encarregada pelo Tratamento de Dados Pessoais, Head of Privacy & Data Compliance, Advogada Especialista em Proteção de Dados e Privacidade, CIPM, membro da International Association of Privacy Professionals (IAPP).
*Denise Lima é Advogada no Setor Financeiro com 20 anos de experiência. DPO Global pela Getglobal Internacional. Especialista em Privacidade de Dados pela DataPrivacy Brasil, em Direito Digital e Inovação pela FIA, em Direito Constitucional e Administrativo pela Escola Paulista de Direito e Direito Empresarial pela Escola Superior da Advocacia. Head em Proteção de Dados no Banco Safra S.A e responsável pelo projeto de adequação a LGPD.
*Raíssa Moura é Head of Data Privacy na In Loco. LL.M. em Direito Corporativo. Bacharel em Direito pela UNICAP. Certificada em Proteção de Dados (LGPD) e em Privacy and Data Protection Essentials. Instrutora em Proteção de Dados e Cyber Segurança.
*Ana Beatriz Rocha é gerente de Proteção de Dados, Bacharel em Direito (Estácio de Sá), pós-graduada em Direito Digital e Compliance de Tecnologia da Informação (Ibmec), MBA em curso em Gestão de Segurança da Informação (Infnet), graduanda em Banco de Dados (Estácio de Sá).