Se o autor da notcia soube dos fatos por intermdio do seu prprio protagonista, a situao aqui exemplificada permanece no mbito das relaes interpessoais, sem sofrer qualquer repercusso das disposies da Lei Geral de Proteo de Dados (LGPD - Lei n 13.709/2018). A LGPD exclui do seu mbito objetivo de aplicao o tratamento de dados realizado por pessoas naturais para fins exclusivamente particulares e no econmicos (art. 4, I).

Entretanto, muitas vezes, informaes pessoais como as exemplificadas acima chegam ao conhecimento de algum colaborador da empresa em razo da funo por ele desempenhada na organizao. So diversas as hipteses em que um empregador precisa tomar cincia de informaes pessoais dos empregados para adoo de medidas legais.

H uma gama de dados dos colaboradores, cujas operaes de tratamento se fazem sob a base legal do art. 7, inciso II da LGPD (tratamento de dados para cumprimento de obrigao legal ou regulatria do controlador). Controlador a pessoa, jurdica ou natural, que toma as decises relativamente a tratamento de dados pessoais e assume as responsabilidades decorrentes. O o e o arquivamento de tais informaes pessoais pelo empregador constituem tratamentos de dados que tm um propsito legtimo e a devida base legal. Mas h outros deveres a serem observados para que toda a operao de tratamento se enquadre nos parmetros da legalidade.

A LGPD determina que o controlador tem o dever de adotar “medidas de segurana, tcnicas e istrativas aptas a proteger os dados pessoais de os no autorizados e de situaes acidentais ou ilcitas de destruio, perda, alterao, comunicao ou qualquer forma de tratamento inadequado ou ilcito” (art. 46).

A pessoa que, dentro da organizao, toma contato com alguma informao pessoal de outro colaborador em razo da funo que desempenha, e comenta com um terceiro, promove um o no autorizado ao contedo daquela informao, violando o princpio da confidencialidade, e este fato, embora to comum, constitui um tipo de incidente de segurana de dados pessoais.

A empresa pode responder face ao titular dos dados, em caso de dano material ou moral, mas tambm pode ser responsabilizada istrativamente pela Autoridade Nacional de Proteo de Dados (ANPD) em alguma das sanes dispostas no art. 52 da LGPD, que incluem advertncia, multa simples ou diria, publicizao da infrao, formas variadas de impedimento provisrio ou definitivo de uso de dados pessoais, seja dos dados objeto do incidente, seja de todo o banco de dados da organizao.

Dispe a Lei que a intensidade da sano dever ser proporcional gravidade da falta. E que a aplicao da penalidade, tendo em vista as peculiaridades do caso concreto, dever considerar a gravidade e a natureza das infraes e dos direitos pessoais afetados, a adoo de polticas de boas prticas e governana pela organizao, bem como a adoo reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, dentre outros parmetros.

Para as situaes de vazamentos individuais ou os no autorizados aos dados pessoas, a LGPD reconhece a possibilidade de conciliao direta entre o controlador e o titular dos dados, mas dispe que, caso no haja acordo, estar o controlador sujeito aplicao das penalidades istrativas pela ANPD.

O treinamento dos colaboradores da organizao para a conscientizao em privacidade e proteo de dados das medidas istrativas mais importantes a serem implementadas como forma de evitar incidentes de segurana de dados e por onde se deve iniciar qualquer programa de conformidade LGPD.