Simone Bastos é Sócia do Braga de Andrade Advogados, profissional de GRC – Governança, Risco e Compliance.

Equidade salarial: uma preocupação do empresário.

Publicada em julho deste ano, a Lei 14.611 criou novas obrigações para empresas em relação a seus empregados. As novas regras já estão valendo. Mas, quais são elas?
Com o propósito de não somente fomentar, mas efetivamente garantir equidade de salários e melhores ambientes corporativos para mulheres, a legislação exige a elaboração e divulgação dos salários e critérios remuneratórios por função, além de estatísticas de ocupação de mulheres nos cargos.
Os dados deverão constar do Relatório de Transparência, que deverá ser atualizado a cada 6 meses (por isso, falamos que o prazo dessa divulgação será janeiro de 2024) e deverá ser adotado por empresas que contam com mais de 100 empregados.
Para ponderar com a Lei Geral de Proteção de Dados, os nomes e demais dados cadastrais deverão ser blindados. Deve haver um esforço da gestão para não viabilizar a individualização dos dados, mas, no limite, para uma massa crítica pequena de determinados setores ou unidade de produção, possivelmente, poderemos encontrar o titular desse dado. E, na minha ótica, tendo havido diligência para a pseudo-anonimização, o tratamento desse dado estaria respaldado no dever legal presente no art. 7º, II da Lei 13.709/2018.
A multa para a não exibição do Relatório de Transparência será de 3% (três por cento) da folha de pagamento.
Levando em consideração o “pratique ou explique” – utilizado para empresas listadas na B3 se posicionarem sobre a adoção das recomendações do Código Brasileiro de Governança Corporativa Companhias Abertas do IBGC – a lei 14.611 impõe às empresas que lancem, ao lado do seu Relatório de Transparência, as justificativas para distorções nas remunerações entre homens e mulheres ocupantes do mesmo cargo (critérios territoriais, por exemplo, poderiam ser lançados). Ou, se não houver justificativa fundamentada que seja apresentado um Plano de Ação para correção da distorção salarial comparativa.
Os canais de denúncia devem ser ampliados e a escuta aprimorada para relatos de irregularidade nessa temática. Ferramentas de controle na realidade do compliance devem sofrer investimentos.
Antes que se argumente, dados justificam a medida legislativa: uma mulher brasileira tem um salário, em média 22% inferior que o seu colega homem que executa a mesma função na mesma hierarquia. São dados alarmantes de 2023 do IBGE.
Além de tornar pública a situação de equidade de gênero, empresas deverão promover de programas de formação, permanência e ascensão de mulheres em seu organograma.
Para alguns negócios, a equidade salarial já é uma realidade demandada pelo setor, pelo mercado ou pelos seus compromissos assumidos.
Indicadores que hoje estão listados nas ODS (Objetivos de Desenvolvimento Sustentável publicados pela Organização das Nações Unidas), como o tempo de permanência da mulher no retorno ao trabalho pós licença maternidade, apontam outras importantes medidas de proteção da equidade de gênero. As cias subscritoras do Pacto Global da ONU já correm atrás de seus compromissos com equidade e políticas afirmativas para mulheres.
De igual forma, companhias listadas na bolsa brasileira, por meio da Resolução nº 59 de 2021 da CVM (Comissão de Valores Mobiliários), são obrigadas a dar transparência à equidade de gênero em cargos e na direção.
A tão merecida e almejada equidade também só terá lugar efetivo quando estivermos em um ambiente propício ao aproveitamento desses programas. Reservar o cargo, recrutar para uma vaga afirmativa para mulheres, ampliar o preparo, são medidas de grande valia, mas não garante a entrega do trabalho por profissionais desse gênero.
O papel da mulher é amplo e seu trabalho não acaba com o encerramento da jornada de trabalho. Ao contrário, difícil mesmo é realizar horas extraordinárias quando se tem que correr para buscar as crianças na creche/escola.
Outras medidas se impõem.
A construção de creches próximas (por iniciativa do poder público e também por política de benefícios trabalhistas implementada pelo particular) é medida salutar para a melhor performance. De igual forma, casas de acolhimento a idosos também desafogaram as mulheres de seus deveres de cuidado com os entes familiares.
Resultado de um mapeamento realizado pelo Instituto Think Olga aponta que as mulheres dedicam cerca de 21,4 horas semanais a atividades domésticas, quase o dobro das 11 horas, em média, dedicas pelo seu par do gênero oposto.
Todas as medidas, sobretudo de origem legislativa, são bem-vindas e podem contribuir para empurrar a evolução da nossa comunidade. E seguimos precisando de mais ampliação de consciência dentro e fora dos lares, dentro e fora das organizações.

https://www.migalhas.com.br/depeso/396551/equidade-salarial-uma-preocupacao-do-empresario

O post Publicação de artigo da nossa Sócia Simone Bastos no Migalhas apareceu primeiro em Braga de Andrade Advogados.

Proteção de Dados Pessoais sob o viés do controlador: o direito de retenção versus o dever de eliminar dados pessoais.

Simone Bastos Braga de Andrade
Agosto, 2020

A lei de proteção de dados brasileira – Lei nº 13.709/2018 – assim como as demais legislações em proteção de dados já em vigor em diversos países, reconfiguram a titularidade dos dados pessoais reconhecendo a propriedade desses dados aos seus titulares ainda que os tenham informados a outras pessoas.

Confirmar esse conceito, pode-se parecer redundante, mas numa economia “datificada” como a que navegamos nessa Era da Informação, o assunto ganha assento e importância e recorda às empresas que o uso dos dados pessoais contidos em seus bancos – que as viabilizam alçar faturamentos de muitos dígitos – precisam ser limitados a regras que garantam a liberdade, privacidade, livre desenvolvimento da personalidade do indivíduo.

Se por um lado, a LGPD exige que as empresas assegurem a integridade e segurança dos dados pessoais contidos em seus bancos por outro lado a mesma lei brasileira determina que seja promovido o descarte de dados pessoais quando não houver mais lastro legal para a manutenção da operação de tratamento.

Com efeito, tanto a Regulamento Geral de Proteção de Dados europeu (GDPR) quando a LGPD, estabelecem regras para o tratamento de dados pessoais e algumas dessas regras, trazidas com a roupagem jurídica de princípios, exigem que os dados tenham a sua integridade garantida bem como sejam mantidos a salvo de incidentes mais conhecidos como vazamentos, seja, acidental ou decorrente de ação criminosa. Essa vertente que termina por reconhecer um direito ao titular do dado, encontramos na LGPD sob a nomenclatura de princípio da segurança (art. 6º, VII).

De igual forma, essas legislações específicas em proteção de dados também determinam que o tratamento de dados deve ser realizado somente com lastro em uma das bases legais (no total de 10 para a versão brasileira da lei) e pelo prazo necessário ao atingimento da finalidade para o qual foram coletados. Essa normativa está apresentada pelo princípio da finalidade. Atingindo-se a finalidade, inicia-se o dever de eliminar o dado, determinando ao controlador daquela operação de tratamento o manejo de uma desenhada política de descarte.

E não se diga que há contraditoriedade na legislação. Mas, dentro de uma linha temporal, a LGPD determina que o dado seja mantido íntegro e em segurança durante a execução da operação de tratamento e que seja descartado ao final dela, não havendo mais justificativa legal para a manutenção do dado no banco.

Uma vez licitamente coletado para uma finalidade específica, as operações de tratamento que se seguir a partir daí devem estar irremediavelmente enquadradas em uma das hipóteses autorizativas previstas no art. 7º se for o caso de serem dados pessoais comuns, ou no art. 11 para dados pessoais sensíveis e ainda no art. 14 para dados pessoais de crianças e adolescentes, todos da Lei nº 13.709/2018.

Na prática, há a necessidade de, uma vez levantadas as operações de tratamento de dados pessoais, construir a tabela de temporalidade que identificará o momento para que seja promovido o descarte, salvo se a permanência daquele dado no banco do controlador se justificar por outra base prevista na lei, a exemplo do interesse legítimo do controlador (art.7ª, IX), exercício regular de um direito (art. 7º, VI).

Ou seja, o dever de eliminar dados pessoais não é absoluto. Mas pode ser licitamente mitigado em face de algumas hipóteses restritas de retenção dos dados pelo controlador. Contudo, com esse direito de retenção segue-se todo o dever de garantir a integridade e segurança dos dados pessoais.

Trazendo para a concretude, se um titular fornece seus dados de nome, contato de e-mail, CPF e endereço para fazer uma compra de um bem de consumo, com o exaurimento dessa relação (entrega do produto, fim do prazo de garantia do bem, execução dos deveres fiscais acessórios) em tese nasceria ao controlador o dever de eliminar esses dados uma vez que estaria alcançada a finalidade daquela operação de tratamento de dado realizada com lastro na execução de um contrato.

Contudo, ainda após o alcance da finalidade, inclusive o cumprimento de todas as obrigações legais, poderia o controlador permanecer com os dados coletados para oferta à venda de novos produtos? Entendemos que sim lastreando essa nova operação de tratamento no legítimo interesse do controlador (enquadrado no art. 10, I), desde que aquela oferta do novo produto guarda relação com o primeiro negócio realizado com a concordância do titular, como leciona Caio César Carvalho Lima (2019, pg. 195):

Sendo atingidos os requisitos mencionados anteriormente, o controlador poderá fundamentar o tratamento de dados para apoio e promoção de suas atividades. Nesse sentido, podemos citar alguns exemplos, tais como:

1. 1. 1. 1. O controlador que, após, observar as preferências de determinados usuários em seu portal, passar a exibir para eles produtos que mais o agradem, com base no tratamento de dados dos demais usuários daquele site;
         2. O envio de e-mail com descontos específicos para aqueles produtos buscados por determinado titular, ou até mesmo com indicações, tomando por base o histórico de compras do titular; ou
         3. Relembrar determinado consumidor que incluiu produtos em seu “carrinho virtual”, mas não finalizou a compra.

Para tanto, além de garantir a transparência acerca da nova operação de tratamento (art. 10, §2º) e minimizar o uso de dados (art. 10, §1º), deve observar a necessidade de realização do Relatório de Impacto em Proteção de Dados ditado pelo art. 38 para a realização de operações de tratamento com base no interesse legítimo, revelando-se, ainda, uma boa prática de governança em proteção de dados a realização do teste de balanceamento como ponderam Isabella Z. Frajhof e Ana Lara Mangeth (2020, p. 84):

Dessa forma, esse teste “multifatorial” aponta para uma tentativa de dar maior previsibilidade a essa hipótese legal flexível, indicando o necessário balanço a ser feito entre os direitos do titular de dados, por um lado, e os interesses dos agentes de tratamento do outro. Ainda pode-se dizer que no Brasil esse teste de proporcionalidade deverá ser aplicado nos casos de interesse legítimo, sendo exigido dos controladores que comprovem a eficácia das medidas adotadas – princípio da responsabilização e prestação de contas (art. 6º, X) -, além da óbvia aplicação dos demais direitos e garantias dos titulares de dados.

Neste caso, poderá o titular se opor a essa nova operação de tratamento como lhe assegura o art. 18, §2º da LGPD.

Por um outro viés, igualmente respaldaria a retenção dos dados ao final da primeira operação de tratamento o exercício regular de direito. Nesse sentido, terá o controlador o direito de manter os dados em sua base exclusivamente para a hipótese de precisar para eventual defesa em demanda judicial que envolva tal negócio para o qual os dados foram coletados. Essa base legal está prevista no art. 7ª VI da LGPD. E sobre a exclusividade do uso para essa finalidade, destaca Caio Cesar Carvalho Lima (2020, pg. 31):

Assim, nas situações em que se entender que determinados dados pessoais poderão servir como fundamento para o exercício de direitos em demandas em geral, eles poderão ser tratados para essa finalidade enquanto subsistir tal necessidade, desde que para essa única e exclusiva finalidade.

Podem ser utilizados como parâmetro para a retenção da informação os respectivos prazos prescricionais previstos na legislação civil e penal. Havendo discussão judicial, haverá fundamento para armazenamento dos dados durante todo o prazo em que subsistir possibilidade de discussão da demanda, inclusive os dois anos subsequentes em que pode haver a apresentação da Ação Rescisória.

Para essa linha de intelecção, deverá o controlador construir o critério de temporalidade específico que determinará o momento em que os dados em questão obrigatoriamente deverão ser eliminados vinculado ao prazo prescricional de eventual ação, sendo certo que essa nova operação de tratamento deve ser limitada tão somente ao armazenamento.

Alcançando-se esse marco temporal (do prazo prescricional), nasce o dever para o controlador em eliminar aqueles dados coletados encerrando-se, com isso, inclusive, o seu dever se prestar contas ao titular daqueles dados. O término do tratamento impõe o dever de eliminar os dados, conforme prevê o art. 16, restando ao controlador a opção da anonimização para manter uma base de dados que não identifique o seu titular e, portanto, desobrigadas de lastro em uma das 10 bases legais autorizativas.

A LGPD em seu art. 16 trás permissivos para a manutenção da retenção dos dados pessoais pelo controlador mesmo com a ocorrência do término da operação de tratamento ou até mesmo diante do requerimento formulado pelo titular para a eliminação do seu dado.

Contudo, não sendo uma dessas hipóteses e não havendo o descarte após o término do tratamento, incorre o controlador em ilegalidade como advertem Gisela Sampaio da Cruz Guedes e Rose Melo Vencelau Meireles (2019, p. 228):

Salvo nas hipóteses previstas no art. 16 da LGPD, em que o legislador expressamente autoriza a conservação dos dados pessoais após o término de seu tratamento, o controlador deve descarta-lo tão logo ocorra o encerramento do tratamento nos termos do art. 15 da LGPD. Se, após o término do tratamento, o controlador não descartar os dados pessoais, como determina a LGPD, ele poderá vir a ser responsabilizado, presentes os pressupostos da responsabilidade civil.

Invariavelmente, durante todo o ciclo de vida dos dados coletados, assim como no exemplo aqui ventilado, deve o controlador garantir o sigilo, a integridade, a segurança desses dados, inclusive contra a eliminação dos mesmos.

Vê-se, portanto, que a eliminação de dados pessoais representa para o controlador hora um dever de fazer e, portanto, obrigação de eliminar, e em outros momentos quando configurado o seu direito de retenção, um dever de não fazer, devendo adotar medidas técnicas e administrativas para evitar a eliminação desses mesmos dados, tudo dependendo do contexto e do corte de análise desses dados na linha do tempo de seu ciclo de vida.

Bibliografia

Doneda, Danilo; Mendes, Laura Schertel; Cueva, Ricardo Villas Bôas. Lei Geral de Proteção de Dados. A caminho da efetividade: contribuições para a implementação da LGPD. São Paulo: Revistas dos Tribunais, 2020.

Frajhof, Isabella Z. e Mangeth, Ana Lara. As bases legais para o tratamento de dados pessoais. in a LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020;

Lima, Caio César Carvalho. Do tratamento de dados pessoais. In LGPD – Lei Geral de Proteção de Dados Comentada. São Paulo: Revista dos Tribunais, 2019;

_____________________., Estudo Prático sobre as bases legais na LGPD. In Proteção de Dados, Desafios e Soluções da Adequação à LGPD. Rio de Janeiro: Forense, 2020;

Guedes, Gisela Sampaio da Cruz; Meireles, Rose Melo Vencelau. Término do tratamento de dados in Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. Coord. por Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. São Paulo: Revista dos Tribunais, 2019.

Simone Bastos Braga de Andrade

O post LGPD: Eliminação x Retenção de Dados. Por Simone Bastos Braga de Andrade. apareceu primeiro em Braga de Andrade Advogados.

De igual sorte, a LGPD faz interseção com diversas outras legislações e regulamentos do nosso ordenamento jurídico, exigindo o sombreamento das dessas normas.

Além disso, é um marco legislativo e contribuirá, sem dúvidas, para uma mudança cultural em proteção de dados, exposição da intimidade, liberdade de expressão, educação digital por que não?!

Mesmo muito representando, isso tudo não eleva a LGPD ao CENTRO do nosso ordenamento jurídico. Nem mesmo autoriza que no processo de adequação às novas normas de proteção de dados, conceitos de institutos jurídicos sejam distorcidos.

Um exemplo dessa prática viu-se recente com a publicação pelo Tribunal de Justiça do Distrito Federal, no decorrer do processo de adequação à LGPD, Resolução 9, de 2 de setembro de 2020, nomeando o Presidente daquela corte e sua equipe ao cargo de Controlador de Tratamento de Dados Pessoais, nomeando todos os servidores públicos ali lotados como Operadores de Tratamento de Dados Pessoais:

Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

• 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.

Cumprindo a nova lei brasileira de proteção de dados, o TJDF também nomeou o Encarregado de Proteção de Dados Pessoais.

Essa mecânica de nomeações, equivocada, está contagiando outros órgãos públicos. Infelizmente.

De início, cabe esclarecer que é assertiva a nomeação do Encarregado pelo Tratamento de Dados Pessoais, que no desenho legislativo da nossa norma atribuiu a obrigação ao Controlador de indicar um responsável pela comunicação com os titulares, com a Autoridade Nacional de Proteção de Dados (vide art. 47 da LGPD), dentre outras atividades. Para essa função, está permitida a constituição de um setor, equipe (mesmo tendo que apontar um só como principal), ou nomear uma pessoa jurídica contratada especificamente para essa finalidade (DPO as a service).

No mais, entendemos por recheada de atecnia as demais nomeações para Controladores e Operadores servidores públicos lotados naquele Tribunal.

Uma lógica muito simples repousa aí: os conceitos de Controlador e Operador são open legis, ou seja, são ditados pela lei, prescindindo, portanto, de atos de nomeação por quem quer que seja ou por qualquer meio como portaria ou contratos. O enquadramento de uma pessoa em um desses dois papeis de Agente de Tratamento de Dados Pessoais, para a LGPD, é contextual e não definido por auto declaração.

Se estamos diante de uma pessoa jurídica que opera dados pessoais, será ela taxada como controladora se executa qualquer operação de tratamento com base em suas próprias regras e finalidades, ainda que o meio seja executado por outra pessoa. Lógico, se estamos falando de uma pessoa jurídica, como figura de ficção jurídica, a execução institucional se dá por meio de das mãos físicas por ela contratadas.

O seu corpo funcional, portanto, atua por meio de representação, seja por vínculo jurídico trabalhista ou estatutário. E está lá – e, pasmem, continua a ter efeito jurídico – o instituto da representação previsto no Código Civil nos art. 1.169 e seguintes.

E não vamos complicar exigindo que empregados e servidores públicos precisariam de procuração para realizar operações de tratamento de dados pessoais. Algumas atividades e negócios jurídicos exigem sim atos específicos para serem executados em nome da Pessoa Jurídica, alguns por lei, outros por regulamentos, outros por práticas de boa governança corporativa ou gestão da coisa pública. Mas, não por demandarem operações de tratamento de dados. Não com base nesse critério. A definição das atividades de trabalho a serem desempenhadas pelo empregado ou servidor público deverão, como costumeiramente, estar desenhadas no contrato de trabalho, quadro de atividades, edital do concurso, etc. Operações de tratamento de dados serão inerentes a cada uma dessas funções e, portanto, estarão sob a execução dos empregados e servidores públicos dos respectivos Controladores.

Contudo, esse desdobramento não faz com que esses empregados e servidores públicos possam ser considerados Operadores de Tratamento de Dados Pessoais.

De igual forma, o fluxo de dados entre os setores de uma pessoa jurídica ou de um órgão público não representa a transferência de dados entre agentes de tratamento. Os dados permanecem com o mesmo Controlador, no mesmo CNPJ.

Se os dados não são compartilhados com terceiros fora da Pessoa Jurídica, não vislumbramos a presença do Operador de Tratamento de Dados Pessoais.

Com efeito, a relação entre Controlador e Titulares nem sempre será cadenciada por um Operador. Em verdade, há diversas mecânicas que podem ser visualizadas na prática. Vejamos as hipóteses exemplificativas:

• TITULAR DOS DADOS – CONTROLADOR
• TITULAR DOS DADOS – CONTROLADOR – OPERADOR
• TITULAR DOS DADOS – OPERADOR – CONTROLADOR
• TITULAR DOS DADOS – CONTROLADOR – CO CONTROLADOR – OPERADOR
• TITULAR DOS DADOS – OPERADOR – CONTROLADOR – CO CONTROLADOR

Assim, a figura do Operador de Tratamento de Dados Pessoais vai surgir, como pessoa jurídica ou física estranha ao quadro funcional do Controlador com quem manterá relação contratual escrita ou não, por meio da qual será demandado a executar tarefas, dentre as quais evolverão operações de tratamento de dados.

Não podemos, também, deixar de importar (como temos feito com alguns pontos da LGPD) os conceitos muito bem definidos pela EDPB, via Guideline 07/2020, de 02 de setembro, quando delimita, para a GDPR, que o Controlador continua sendo a pessoa jurídica mesmo apontando a função de processar a operação de tratamento de dados a um dos seus empregados:

18. Sometimes, companies and public bodies appoint a specific person responsible forthe implementation of the processing operations. Even if a specific natural person is appointed to ensure compliance with data protection rules, this person will not be the controller but will act on behalf of the legal entity (company or public body) which will be ultimately responsible in case of infringement of the rules in its capacity as controller.

(https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf)

E nomear ou considerar um empregado ou servidor público como Operador de Tratamento de Dados com a finalidade de colocá-lo na cadeia de responsabilidade por infringir obrigações da LGPD, como previsto no arts. 42 e 43, é uma justificativa vazia.

Não ter o seu empregado ou servidor público “nomeado” como Operador de Tratamento não exclui a sua eventual responsabilização, sob o ponto de vista de obrigações civis, de eventual dano que possa vir a causar ao seu empregador que poderá se valer o direito de ação de regresso para buscar o eventual reembolso, observados os requisitos necessários do instituto da responsabilidade civil, prevista no art. 927 e seguintes do Código Civil de 2020. Ainda em vigor!

O post A LGPD não é o centro da Via Láctea, Universo. O Sol continua por lá. apareceu primeiro em Braga de Andrade Advogados.