Lei Geral de Proteção de Dados e Diálogo das Fontes - 9) Outras Leis

Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), do Código de Defesa do Consumidor (clique aqui), do Código Civil (clique aqui), da Lei do Sigilo Bancário (clique aqui), da Lei do Cadastro Positivo (clique aqui), da Lei de Acesso à Informação (clique aqui), do Marco Civil da Internet (clique aqui) e do Cadastro Base do Cidadão (clique aqui), passa-se ao exame de outras leis acerca do tema.

Além do diálogo da LGPD com as leis e decretos anteriores, existem outras regras esparsas sobre a proteção de dados na legislação brasileira.

Entre elas, destacam-se quatro leis: a Consolidação das Leis do Trabalho (Decreto-Lei nº 5.452/43), o Código Tributário Nacional (Lei nº 5.172/66), o Código Penal (Decreto-Lei nº 2.848/40) e a Lei de Combate às Organizações Criminosas (Lei nº 12.850/2013).

Em primeiro lugar, a Consolidação das Leis do Trabalho (CLT) contém uma hipótese de despedida sem justa causa pela violação de segredo da empresa (art. 482, ‘g’). Logo, se o empregado fornecer dados ou informações que forem considerados segredos industriais, caracteriza-se a justa causa para a rescisão do contrato de trabalho.

Além disso, a LGPD afeta diretamente as relações de trabalho, inclusive sobre a necessidade da regulação contratual do tratamento de dados dos empregados pelo empregador (desde o processo de seleção até a guarda de dados após o encerramento do vínculo empregatício, passando pelo monitoramento do ambiente de trabalho por câmeras, monitoramento de e-mail corporativo, entre outras regras).

Para se adaptar às relações atuais de trabalho, a CLT foi alterada em 2011 para regular o trabalho remoto e dispor que “não se distingue entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do empregado e o realizado a distância, desde que estejam caracterizados os pressupostos da relação de emprego” (art. 6º). Além disso, os meios telemáticos e informatizados de comando, controle e supervisão são equiparados aos meios pessoais e diretos de comando, controle e supervisão do trabalho alheio, para fins de subordinação jurídica (art. 6º, parágrafo único, da CLT).

Com a Reforma Trabalhista realizada pela Lei nº 13.467/2017, a CLT passou a ter um capítulo exclusivo sobre o teletrabalho, que é o trabalho remoto desempenhado com o uso de tecnologia da informação e comunicação, ou seja, é realizado preponderantemente fora do ambiente da empresa (arts. 75-A/75-E).

Desse modo, o trabalhador está fora da empresa, mas, em virtude do controle remoto do trabalho, considera-se que ele está no desempenho de seu trabalho, de acordo com mecanismos de verificação (por exemplo, o controle de horários de login e logout na rede corporativa).

Além disso, também é necessária a existência de regulação ou, até mesmo de uma política organizacional sobre o BYOD (bring your own device), prática comum na atualidade, na qual os empregados levam os seus próprios dispositivos para o trabalho, com o objetivo de uso no desempenho de suas atividades laborais.

Em segundo lugar, o Código Tributário Nacional estabelece obrigações de envio de informações para controle do Fisco, sobretudo em virtude de investigação de crimes de evasão de divisas ou ocultação patrimonial, por existir o interesse público (na busca de prevenir e reprimir prejuízos à Administração Tributária).

Logo, a Administração Pública tem o direito de acesso aos dados inseridos nas declarações de tributos, para evitar ilícitos administrativos, cíveis ou criminais.

As normas de proteção de dados no Código Tributário Nacional são as seguintes:

(a) Obrigação do fornecimento de dados de bens, negócios ou atividades de terceiros (art. 197): além dos dados fiscais, a Administração Tributária pode requisitar a terceiros, mediante intimação administrativa, dados relativos a bens, negócios ou atividades do contribuinte para tabeliães, escrivães e demais serventuários extrajudiciais, para instituições financeiras, empresas de administração de bens, corretores, leiloeiros e despachantes oficiais, inventariantes, síndicos, comissários e liquidatários, além de quaisquer outras entidades ou pessoas designadas por lei, em razão de seu cargo, ofício, função, ministério, atividade ou profissão. Assim, por exemplo, a Receita Estadual pode requisitar aos cartórios de registros de imóveis informações de negociação para verificar a ocorrência – ou não – de fato gerador de tributo;

(b) Sigilo fiscal (art. 198): o sigilo é a regra no CTN, que lista no § 1º do art. 198 as situações de exceção, consistentes em duas situações de dever de prestação de informações no cumprimento de decisões judiciais e no atendimento de requisições administrativas para instruir processo administrativo já instaurado;

(c) Intercâmbio de informações (art. 199): além da prestação de informações entre as instituições financeiras, também é permitida a troca de informações entre os entes do Fisco, ou seja, entre as autoridades tributárias da União, dos Estados, do Distrito Federal e dos Municípios, no interesse da fiscalização tributária.

Em terceiro lugar, no Direito Penal, existem tipos positivados no Código Penal (CP) que, ainda que indiretamente, buscam a proteção de dados.

O art. 154-A, incluído pela Lei nº 12/737/2012, criminaliza a conduta de invadir um dispositivo informático alheio (conectado ou não à rede de computadores), mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações, sem autorização expressa ou tácita do titular do dispositivo, ou instalar vulnerabilidades para obter vantagem ilícita. O § 1º do dispositivo tipifica a conduta de disseminação de vírus, consistente em produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. Acrescenta-se que o acesso ao dispositivo não precisa necessariamente ser feito por meio da internet, mas pode ocorrer diretamente sobre o dispositivo, com violação ao sistema de segurança (senha, firewall, sala do servidor etc.). A invasão pode ocorrer diretamente no equipamento, ou mediante a instalação de arquivos maliciosos (vírus de computador), que podem agir mesmo sem uma conexão de internet, de forma temporária ou definitiva.

Assim, o tratamento indevido de dados pessoais, caracterizado por uma das condutas previstas no art. 154-A do Código Penal, é tipificado como crime.

Por sua vez, o crime de violação de sigilo funcional tem entre seus tipos a conduta do funcionário público que permitir ou facilitar, mediante atribuição, fornecimento e empréstimo de senha (ou por qualquer outra forma), o acesso de pessoas não autorizadas (funcionários públicos ou não) a sistemas de informações ou a banco de dados da Administração Pública (art. 325, § 1º, I, do CP). Ainda, a efetiva utilização do acesso restrito pela pessoa não autorizada (art. 325, § 1º, I, do CP) também caracteriza esse crime e há uma pena diferenciada (mais elevada) se qualquer uma dessas condutas causar dano à Administração Pública (art. 325, § 2º, do CP).

Em quarto lugar, a Lei de Combate às Organizações Criminosas (Lei nº 12.850/2013) regula a remessa de dados cadastrais de pessoas investigadas para o Delegado de Polícia e para o Ministério Público. Essas autoridades administrativas podem requisitar diretamente os dados (ou seja, sem a intervenção judicial) para a Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito, desde que os dados pessoais se limitem a informar a qualificação pessoal, a filiação e o endereço (art. 17).

Em complemento, o Delegado de Polícia e o Ministério Público também podem requisitar diretamente determinados dados dados pessoais (registros de identificação dos números dos terminais de origem e de destino das ligações telefônicas internacionais, interurbanas e locais) para as concessionárias de telefonia fixa ou móvel manterão, que têm o dever de guarda desses dados pelo prazo de cinco anos (art. 17).

Assim, desde que limitados aos dados pessoais referidos e na investigação da prática de crime cometido por organização criminosa, as autoridades administrativas citadas podem realizar diretamente a requisição às pessoas jurídicas e instituições citadas.

Ademais, na investigação de crimes praticados por organização criminosa, o Delegado de Polícia e o Ministério Público também podem requisitar diretamente, ou mediante decisão judicial, o acesso direto e permanente aos bancos de dados de reservas e registro de viagens mantidos pelas empresas de transportes, que têm o dever de guarda desses dados pelo prazo de cinco anos (art. 16).