Notícias

Proteção de dados pelas entidades sindicais

20 setembro, 2021

Roberto Miglio Sena

Um dos assuntos mais comentados no meio jurídico atualmente diz respeito à Lei Geral de Proteção de Dados – LGPD. Trata-se de uma lei de 2018, cuja aplicação de alguns dispositivos (as sanções por descumprimento) somente começaram a vigorar em agosto de 2021.

A LGPD nasce no contexto de uma sociedade global e hiperconectada, em que dados e informações circulam na web em velocidade instantânea. Assim, a LGPD surge para regular esta circulação de dados e informações, dando concretude ao art. 5º X da CR/88 no que tange à inviolabilidade da intimidade, vida privada, honra e imagem das pessoas.

A LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica, de direito público ou privado. Vale para as empresas, mas também vale para o governo. Nesse espectro, o tema é de interesse também dos sindicatos e seus respectivos servidores públicos.

É natural que o Sindicato, enquanto entidade constitucionalmente legitimada para representar os servidores públicos que compõem a sua base, manuseie uma grande quantidade de dados dos seus servidores: dados cadastrais, tais como nome, RG, endereço; relação de filiados; processos ativos, prestação de contas, receitas e despesas da entidade, entre outros.

Antes de mais nada, é preciso verificar a natureza dos dados manuseados pelo sindicato: trata-se de um dado pessoal? Um dado sensível? Um dado anonimizado? Quem são os titulares desses dados? Qual a forma de tratamento? Explicamos a definição desses conceitos no artigo “LGPD, Administração e servidores públicos”.

A LGPD nos dá vários indicativos sobre como estes dados devem ser tratados. Reproduzimos abaixo os principais dispositivos:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
IV – a inviolabilidade da intimidade, da honra e da imagem;
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio,
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
  • 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Dos dispositivos citados, verifica-se que a LGPD cria um verdadeiro sistema protetivo de dados pessoais. A regra passa a ser o respeito à privacidade (art. 2º II) e a utilização dos dados pessoais pelos agentes de tratamento (tais como o governo, sindicatos e empresas) deve se limitar ao mínimo necessário para a realização de suas finalidades (art. 6º III), mediante autorização do titular do dado, e com a utilização de medidas técnicas de segurança aptas a proteger tais dados de acessos não autorizados (art. 6º VII).

O tratamento de dados legitima-se em duas hipóteses: quando o titular do dado autorizar ou para o cumprimento de uma obrigação legal. Mesmo que o estatuto do sindicato preveja que o servidor, ao filiar-se, autoriza o manejo destes dados para as finalidades sindicais, ainda assim deve-se ter em vista os aspectos protetivos da LGPD, expondo dados pessoais da mínima forma possível e tão somente aquilo que for indispensável. Somado a isto, ao utilizar dados pessoais, o agente de tratamento deve tomar medidas de segurança para evitar que tais dados sejam alvo de acessos não autorizados, conforme dispõe o art. 46 da LGPD:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Um instrumento interessante posto pela LGPD e que pode ser de utilidade para o objeto do presente estudo diz respeito à anonimização de dados. Isto significa pegar um dado identificável, como por exemplo o nome ou RG de um servidor, e tornar tal informação anônima, sem que seja possível que terceiros identifiquem quem é o titular daquele dado.

A anonimização é inclusive um dos direitos do titular de dados (art. 18, IV). Além disso, ao tornar um dado anônimo, este perde a natureza de dado pessoal (art. 12), prescindindo, portanto, do amplo arcabouço protetivo previsto na LGPD.

Por fim, vale destacar que a LGPD prevê sanções em caso de violação aos dispositivos da lei. Essas sanções passaram a vigorar a partir de agosto de 2021, sendo indispensável que os sindicatos promovam a proteção dos dados que manuseiam.

Em caso de violação ou infração à proteção de dados, a LGPD estabelece pesadas sanções administrativas (art. 52), entra as quais chama a atenção a possibilidade de aplicação de multa de até 2% do faturamento da pessoa jurídica multada. A aplicação destas sanções se dará após regular procedimento administrativo pela Autoridade Nacional, valendo destacar que os dispositivos sancionatórios passaram a vigorar no dia 01/08/2021, o que reforça a importância de o sindicato precaver-se e estruturar-se para evitar quaisquer tipos de problemas nesse sentido.

E você, tem se preocupado com a proteção dos dados que porventura manuseie?  O tema é recente, mas muito importante, de modo que, para outros esclarecimentos, a assessoria jurídica dos sindicatos está à disposição.

 


 

Quer saber mais?