1) E-MAIL CORPORATIVO COMO INSTRUMENTO DE TRABALHO
As empresas têm fornecido para seus empregados o chamado e-mail corporativo – empregado@empresa.com.br –, como objetivo de facilitar a comunicação e transmissão de informações com clientes, fornecedores e outros setores da empresa, alcançando maior eficácia nas relações empresariais.
Seja no âmbito das pequenas, médias ou grandes corporações, tal e-mail passou a ser instrumento de extrema importância, proporcionando segurança, credibilidade, agilidade na transmissão de dados e informações, desaparecimento das barreiras nacionais, dentre outros.
O artigo 458, § 2º, da Consolidação das Leis do Trabalho (CLT) enumera algumas parcelas meramente instrumentais ofertadas pelo empregador ao empregado, tais como vestuário, equipamentos e outros acessórios, cujo rol é exemplificativo.
Trata-se de utilidades concedidas pelo empregador que viabilizam a realização do serviço ou o aperfeiçoamento do processo de consecução do trabalho, as quais não possuem intuito contraprestativo. [1]
Assim, de acordo com as normas trabalhistas, pode-se afirmar que o e-mail corporativo tem natureza instrumental.
Nesse contexto, surge a indagação se o e-mail corporativo, instrumento de trabalho, se enquadra como dado pessoal nos termos dos comandos normativos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
2) CONCEITO DE DADO PESSOAL NA LEGISLAÇÃO BRASILEIRA E EUROPEIA
A proteção dos dados pessoais refere-se ao direito de manter a privacidade sobre as próprias informações, consubstanciadas nos dados de caráter pessoal que lhes digam respeito.
Dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”, segundo definição do artigo 5º, inciso I, da LGPD.
É imprescindível, portanto, que o dado pessoal identifique a pessoa natural direta ou indiretamente.
Observa-se que a legislação não apresenta uma lista de quais dados são considerados dados pessoais, ao contrário do conceito de dado pessoal sensível (artigo 5º, inciso II, da LGPD):
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Desse modo, as ações, comportamentos, opiniões, preferências e informações pessoais podem, dependendo da circunstância, serem considerados dados pessoais, quando possuem o condão de identificar ou tornar o titular dos dados identificável. A proteção legal limita-se unicamente às informações que assumem tal qualidade. [2]
Assim como a LGPD, o Regulamento 2016/679– Regulamento Geral de Proteção de Dados da União Europeia (GDPR) – também não apresenta uma lista de quais dados são reputados como pessoais.
Considerando a notável influência que o GDPR exerce sobre a lei brasileira de proteção de dados, importante analisá-lo para elucidar o tema.
O artigo 4º, número 1, do GDPR, define dado pessoal como “informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”.
O GDPR menciona “identificadores por via eletrónica”, mas não diz expressamente e-mail, tampouco e-mail corporativo.
Para aclarar a questão, interessante recorrer aos materiais escritos pelo Grupo de Trabalho de Proteção de Dados do Artigo 29 [3], os quais foram ratificados e validados pelo Comitê Europeu para a Proteção de Dados (European Data Protection Board).
O Parecer 4/2007 dispõe sobre o conceito de dados pessoais e menciona, nas considerações gerais, que a definição possui interpretação ampla, mas que não deverá ser inadequadamente estendida.
O Grupo de Trabalho analisa, separadamente, 04 (quatro) pilares para definir dado pessoal, quais sejam: “qualquer informação”; “relativaa”; “identificada ou identificável"; “pessoa singular”, muito embora esses elementos estejam intimamente relacionados, apoiando-se uns nos outros.
Ao ponderar sobre o primeiro elemento “qualquer informação”, o Grupo de Trabalho interpreta que:
A expressão “dados pessoais” inclui informação que toca a esfera da vida privada e familiar da pessoa stricto sensu, mas inclui também informação sobre qualquer tipo de atividade realizada pela pessoa, tal como a que diz respeito às relações de trabalho ou ao seu comportamento económico e social. Inclui, assim, informação sobre pessoas singulares, independentemente do seu estatuto ou papel (consumidor, paciente, empregado, cliente, etc.). (Parecer 4/2007 sobre o conceito de dados pessoais, p. 07).
Assim, dados relativos às relações de trabalho podem, eventualmente, ser considerados dados pessoais, haja vista que o conceito de dado pessoal inclui informações sobre atividades realizadas pelo titular como empregado.
No que tange ao elemento “relativa a”, o parecer ensina que a informação pode considerar-se como “relativa” a uma pessoa quando é sobre essa pessoa. Consequentemente, exclui-se do conceito de dado pessoal o valor de uma casa, o registro de oficina de um carro, pois são informações sobre objetos.
Relativamente ao pilar “identificada ou identificável", uma pessoa natural pode ser considerada “identificada” quando, em um grupo de pessoas, ela é “individualizada” de todos os outros membros do grupo. Já uma pessoa singular é “identificável” quando, apesar de não ter sido identificada, é possível fazê-lo. [3] Em outras palavras, a identificação poderá ocorrer de forma direta ou indiretamente.
Por último, a proteção é conferida à “pessoa singular” e isso significa que é obrigatório que o dado esteja intrinsecamente vinculado a uma pessoa natural, um ser humano.
Delineado o conceito de dado pessoal na legislação brasileira e europeia, cabe analisar se o e-mail corporativo enquadra-se como tal.
3) E-MAIL CORPORATIVO E DADO PESSOAL
O enquadramento (ou não) do e-mail corporativo como dado pessoal exige análise e interpretação da circunstância concreta, haja vista as inúmeras possibilidades práticas que envolvem referido instrumento de trabalho.
Em algumas situações específicas,“empregado@empresa.com.br” cumpre os 04 (quatro) pilares do conceito de dado pessoal de forma direta e cristalina e deverá ser tratado de acordo com os comandos normativos da LGPD, a fim de resguardar a personalidade do empregado/ser humano.
Como exemplo fictício, menciona-se o seguinte e-mail: “vivinm@nextlawacademy.com.br” (esse email não existe). Notável que tal e-mail corporativo poderia ser considerado um dado pessoal, pois identifica uma pessoa –Viviane Nóbrega Maldonado – sem qualquer esforço.
Importante ressaltar que o e-mail corporativo, associado a uma combinação de pormenores de diferentes categorias, pode ser igualmente conclusivo em algumas circunstâncias, sobretudo se se tem acesso a certas informações adicionais. [4]
Em outros cenários, o elemento “identificada ou identificável" não restará preenchido. Cita-se casos em que vários empregados têm acesso e utilizam o e-mail corporativo “contato@empresa.com.br” como ferramenta de trabalho e assinam em nome da pessoa jurídica. Nessa situação, a possibilidade de identificação é remota. Por consequência, o e-mail corporativo não terá status de dado pessoal, pois não possui vínculo objetivo com uma pessoa identificada ou identificável.
4) CONCLUSÃO
Face ao exposto, a compreensão do e-mail corporativo como dado pessoal depende da circunstância concreta.
Deve-se analisar o contexto específico e verificar se o instrumento de trabalho atende, simultaneamente, aos 04 (quatro) pilares que definem dado pessoal, quais sejam: “qualquer informação”; “relativa a”; “identificada ou identificável"; “pessoa singular”.
Caso o e-mail corporativo seja capaz de identificar ou tornar o empregado identificável, há o enquadramento legal como dado pessoal e estará protegido pela lei, nos termos do artigo 5º, incisoI, da LGPD.
Consequentemente, o empregado poderá exercer seus direitos como titular, conforme artigos 17 e 18 da LGPD, garantidoss direitos fundamentais de liberdade, de intimidade e de privacidade.
[1] DELGADO, Maurício Godinho. Curso de direito do trabalho. 17. ed. rev. atual e ampl.. – SãoPaulo: LTr, 2018, p. 858.
[2] MALDONADO, Viviane Nóbrega e BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados Comentada. 2. ed. rev., atual e ampl. – São Paulo: Thomson Reuters Brasil,2019, p. 220.
[3] O Grupo de Trabalho foi instituído pelo artigo 29.º daDiretiva 1995/46. Tratava-se de um órgão consultivo europeu independente, que lidou com as questões relacionadas à proteção de dados pessoais e privacidade até 25 de maio de 2018, data de aplicação do GDPR.
[4] Parecer 4/2007 sobre o conceito de dados pessoais. Disponível em: <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_pt.pdf>Acesso em: 21 de março de 2021, p. 13.
[5] Parecer 4/2007 sobre o conceito de dados pessoais (...) p. 14.
REFERÊNCIAS:
BRASIL. Decreto-Lei nº 5.452, de 1º de maio de 1943. Aprova a Consolidação das Leis do Trabalho.Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm>Acesso em: 13 de março de 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD).Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>Acesso em: 13 de março de 2021.
DELGADO, Maurício Godinho. Curso de direito do trabalho. 17. ed.rev. atual e ampl.. – São Paulo: LTr, 2018.
MALDONADO, Viviane Nóbrega e BLUM, Renato Opice. Comentários ao GDPR Regulamento Geral de Proteção de Dados da União Europeia. 2. ed. rev., atual e ampl. – São Paulo: ThomsonReuters Brasil, 2019.
MALDONADO, Viviane Nóbrega e BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados Comentada. 2. ed. rev., atual e ampl. – São Paulo: Thomson Reuters Brasil,2019.
Parecer 4/2007sobre o conceito de dados pessoais. Disponível em: <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_pt.pdf>Acesso em: 21 de março de 2021.
UNIÃO EUROPEIA. Regulamento(UE) nº 2016/679 do Parlamento Europeu e do Conselho, de 23 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, Estrasburgo, 04 de maio de 2016. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT>Acesso em: 21 de março de 2021.
______________________________________________________________________________________________________________________________________