Desde 2020, com o início da vigência da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), que a regra geral, no Brasil, é a vedação do uso de dados pessoais.
Com efeito, dispõe a LGPD, no seu art. 7º, que “o tratamento de dados pessoais SOMENTE poderá ser realizado nas seguintes hipóteses (...)” - elencando então as hipóteses em que os dados pessoais podem ser utilizados.
Deste modo, fora as situações de isenção da LGPD (art. 4º), toda operação de tratamento de dados precisa ser enquadrada numa das hipóteses do mencionado art. 7º (bases legais), figurando, dentre elas, o consentimento (art. 7º, I).
Um equívoco muito comum é o de ser o consentimento um fundamento legal que precede hierarquicamente os demais, ou que deve ser priorizado. Não há hierarquia entre as bases legais, devendo-se buscar sempre fundamentar o tratamento dos dados pessoais naquela hipótese legal que melhor reflita os objetivos da atividade de tratamento dos dados. Não raro, há situações que se enquadram em mais de uma base legal, devendo o agente de tratamento identificar a ideal.
Quando o tratamento não se funda no consentimento, ele não depende da manifestação de vontade do titular dos dados para acontecer.
Por esta razão, há um sentimento, também equivocado, de que se o titular, em momento posterior, não se opuser ou mesmo se ratificar um tratamento inicialmente indevido dos seus dados pessoais, este tratamento deixará de caracterizar uma infração.
É verdade que o direito à proteção de dados pessoais tutela, em primeira linha, o direito à autodeterminação informacional, ou seja, o direito do indivíduo exercer o controle sobre as informações que lhe dizem respeito.
Além disso, dispõe a LGPD que, nas situações individuais de vazamento ou uso indevido de dados, deve ser tentada a conciliação direta entre titular e agente de tratamento dos dados.
Entretanto, o centro do regime jurídico da proteção de dados é a conduta do agente de tratamento, que deve ser responsável e respeitosa da pessoa humana por trás do dado pessoal. Não é um regime centrado no ressarcimento de danos causados, nem voltado à proteção das categorias de informação pessoal. O foco do regime é a regulamentação do uso dos dados, da própria atividade de tratamento de dados pessoais.
Tanto é assim que constitui infração a mera violação das disposições da LGPD, independentemente da ocorrência de dano para o titular. As obrigações do agente de tratamento são de procedimento e de precaução.
A conjugação dos princípios da prevenção e da responsabilização e prestação de contas configura, para o agente de tratamento, o dever de demonstrar tanto a adoção de medidas que assegurem a proteção dos dados contra o uso indevido e o acesso não autorizado, como a aptidão destas medidas para o fim colimado.
Importa, para o regime jurídico da proteção de dados, que as atividades de tratamento de dados dos diversos atores da sociedade se realizem em conformidade com a Lei e que este modus operandi seja incorporado e molde uma cultura de tratamento responsável dos dados pessoais.
Por essa razão é que se tem visto, na Justiça do Trabalho, prolação de decisões que corroboram a aplicação, pelo empregador, da medida de dispensa por justa causa do colaborador que dá causa a vazamento de dados pessoais, ainda que involuntariamente ou mesmo com boas intenções.
Os tribunais têm entendido que a dispensa com justa causa é medida proporcional à gravidade da falta que acarreta o vazamento dos dados, uma vez que quebra a confiança do empregador naquele colaborador, mas desde que o empregador tenha implementado ações internas de conscientização em proteção de dados.
Deste modo, ainda que o titular dos dados não se oponha, ou mesmo que ratifique posteriormente o tratamento dos seus dados realizado em desconformidade com a Lei, poderá haver consequências de responsabilização tanto para o agente de tratamento de dados, quanto para o colaborador que houver violado os deveres legais de cuidado.