Créditos: Conjur
Há um paradoxo silencioso no cotidiano empresarial: para contratar, pagar, gerir e proteger, a organização precisa conhecer muito do trabalhador; quanto mais conhece, mais se aproxima de uma zona de risco jurídico, reputacional e humano. A vida laboral contemporânea é mediada por dados, como observa a doutrina ao tratar da centralidade informacional nas relações sociais (Doneda, 2021; Bioni, 2020). Não se trata apenas de identificação e contato, mas de informações de folha e benefícios, registros de acesso, controle de jornada, desempenho, e, em muitos setores, dados de saúde ocupacional, biometria e geolocalização.
O ponto de tensão está na assimetria. O titular desses dados não é um consumidor em busca de alternativas, mas alguém inserido em relação de dependência econômica e organizacional, com baixa margem real de recusa a determinados tratamentos. Por isso, a proteção de dados do colaborador se conecta ao núcleo dos direitos fundamentais: intimidade, vida privada e imagem (CF, artigo 5º, X), inviolabilidade do sigilo das comunicações e dos dados (CF, artigo 5º, XII), proteção de dados pessoais como direito fundamental (CF, artigo 5º, LXXIX) e dignidade da pessoa humana (CF, artigo 1º, III), em linha com a leitura constitucional da privacidade e dos direitos da personalidade (Mendes, 2019).
A LGPD reforça essa moldura ao exigir finalidade, necessidade, transparência e segurança (Lei nº 13.709/2018, artigos 6º e 46), deslocando a discussão do discurso de modernização para a pergunta decisiva: quais dados são realmente imprescindíveis e como a empresa prova que os protegeu com diligência, sobretudo quando o risco pode vir de dentro.
Quando o titular é empregado, a lógica do tratamento muda de eixo. No vínculo laboral, o tratamento é atravessado por subordinação, dependência e continuidade, o que fragiliza a ideia de decisão plenamente livre sobre o que será coletado, por quanto tempo e com quais finalidades. Daí por que o RH é, por definição, uma zona de alta densidade informacional e de alta sensibilidade jurídica.
Nesse cenário, as bases legais mais recorrentes são estruturais. A primeira é o cumprimento de obrigação legal ou regulatória (LGPD, artigo 7º, II), que dialoga com deveres trabalhistas, previdenciários e de segurança e medicina do trabalho. A segunda é a execução do contrato ou de procedimentos preliminares (LGPD, artigo 7º, V), sem a qual não há folha, benefícios, gestão de jornada, gestão de acessos e rotinas de promoção ou desligamento. Quando se entra no território de dados sensíveis, o cuidado é reforçado, porque não se trata de “mais um dado”: são informações cuja exposição pode gerar estigma e discriminação. Saúde ocupacional e biometria, por exemplo, exigem base legal específica e cautelas adicionais, frequentemente sob o artigo 11, II, da LGPD.
É aqui que muitas organizações tropeçam ao tratar o consentimento como solução universal. Na relação de emprego, consentimento tende a funcionar mais como verniz de compliance do que como fundamento sólido, porque o titular sabe que recusar pode custar a permanência, a ascensão ou, no mínimo, a paz organizacional. A pergunta correta não é “assinou?”, mas “era necessário, proporcional e protegido?”, com registros capazes de demonstrar isso. É nesse ambiente, de alta densidade informacional e baixa margem de recusa, que o risco interno se torna mais perigoso.
O “insider risk” é um dos riscos mais subestimados porque nasce onde a empresa deposita confiança: dentro de casa. O vazamento interno frequentemente dispensa ataque sofisticado; ele emerge do desenho ordinário do trabalho, da circulação informal de planilhas e relatórios e da falta de disciplina sobre quem acessa o quê, quando e para qual finalidade. Juridicamente, isso importa porque a segurança não é atributo opcional do controlador: é dever estruturante, com medidas técnicas e administrativas (LGPD, artigo 46) e com accountability como critério de avaliação (artigo 6º, X).
A origem pode ser dolosa, quando há má-fé, retaliação ou proveito indevido, mas pode ser também culposa, quando o dano nasce de negligência e improviso. Em ambos os casos, o foco não é moralizar o agente, e sim compreender se a empresa permitiu que o risco típico se realizasse sem barreiras adequadas. Planilhas por e-mail, permissões excessivas, ausência de segregação de perfis, credenciais compartilhadas e extração de relatórios integrais por quem só precisava de recortes mínimos são formas comuns de materialização do risco. Em eventual incidente, a pergunta que organiza a responsabilidade não é apenas “quem vazou?”, mas se o desenho de acesso e circulação era compatível com necessidade e segurança, e se a organização consegue demonstrar critérios, controles e rastros de governança.
Tratar segurança da informação como tema exclusivo de TI é um atalho caro do contencioso
A LGPD exige organização, não retórica. Políticas internas sem aderência viram documento ornamental; o que importa é o processo institucional: matriz de acessos por necessidade funcional, revisão periódica de permissões, logs e trilhas de auditoria monitoráveis, treinamento recorrente para RH e lideranças, e plano de resposta a incidentes que não seja improvisado na crise. Nessa arquitetura, o registro das operações (artigo 37) e a função do encarregado (artigo 41) são mecanismos de coordenação e responsabilização, não burocracia.
O mesmo vale para terceiros. Folha, benefícios, saúde ocupacional, ponto e plataformas de recrutamento formam um ecossistema de fornecedores. Se a empresa terceiriza processamento sem diligência, terceiriza risco sem terceirizar responsabilidade. Contratos, due diligence e monitoramento são instrumentos de controle do ciclo de vida do dado, especialmente quando se trata de dados sensíveis. Em litígio, governança vira prova: a empresa é julgada pela capacidade de demonstrar diligência concreta antes, durante e depois do incidente.
Ocorrido o vazamento, o debate costuma ser narrado como “evento”, mas o Direito tende a julgar “estrutura”. O ponto de partida é a cláusula geral de responsabilidade civil: ato ilícito por violação de direito e dano (Código Civil, artigos 186 e 187), com dever de indenizar (artigo 927), nexo causal e extensão do dano (artigo 944). Soma-se a responsabilidade do empregador pelos atos de empregados e prepostos no exercício do trabalho ou em razão dele (artigos 932, III, e 933), o que desloca o foco do “desvio individual” para o dever de organização e vigilância.
A LGPD densifica esse dever. Os artigos 42 a 45 estruturam a responsabilização por danos patrimoniais e morais, individuais ou coletivos, decorrentes de violação à legislação de proteção de dados. O artigo 43 prevê excludentes, como provar que não realizou o tratamento atribuído, que não houve violação à LGPD, ou que o dano decorreu de culpa exclusiva do titular ou de terceiro. Na prática, em vazamento interno, a tese de culpa exclusiva do empregado “terceiro” é pouco persuasiva quando faltam controles mínimos de prevenção, segregação de acesso e monitoramento. A conduta interna, dolosa ou culposa, é risco típico do próprio modelo de operação e, portanto, risco que a governança deveria antecipar e auditar.
Além disso, quando o dado envolve saúde, biometria ou outras categorias sensíveis, a exposição tende a potencializar estigmas e discriminações, elevando a probabilidade de dano moral, que se conecta à gravidade da lesão a direitos da personalidade e ao contexto concreto (Cavalieri Filho, 2023; Moraes, 2010). Reduzir o tema à indenização é míope: além de demandas individuais, há abalo de confiança interna e impacto reputacional, com efeitos que se prolongam no clima organizacional.
Quando o incidente ocorre, a pior reação é transformar crise em improviso
A resposta adequada começa pela contenção e pela preservação de evidências: isolar acessos, revogar credenciais suspeitas, interromper fluxos indevidos e preservar logs, e-mails, trilhas de auditoria e versões de arquivos. Em paralelo, é necessário mapear natureza dos dados, universo de titulares afetados, extensão do vazamento e medidas de mitigação já adotadas. A comunicação interna deve ser centralizada e proporcional, para evitar tanto o silêncio que alimenta boatos quanto a exposição que amplia a violação.
Quando o incidente puder acarretar risco ou dano relevante aos titulares, a LGPD impõe comunicação à autoridade nacional e ao titular, com informação sobre a natureza dos dados, riscos e providências de mitigação (artigo 48). No plano trabalhista, se houver indícios de autoria interna, a empresa deve apurar formalmente, evitando punição por boato e evitando omissão. Dependendo do caso, o vazamento pode caracterizar falta grave e ensejar responsabilização disciplinar, inclusive justa causa, em hipóteses como ato de improbidade e violação de segredo (CLT, artigo 482). Ainda assim, a apuração não pode ser apenas punitiva: ela deve servir também para corrigir falhas sistêmicas de acesso, treinamento e governança, preservando o elemento central do pós-crise, que é a capacidade de provar diligência.
A empresa que trata dados de colaboradores não administra apenas informação; administra confiança. Vazamento interno não é fatalidade operacional, é teste de governança. Em tempos de prova digital, cultura organizacional é tecnologia jurídica: treinamento, disciplina de acesso e responsabilidade gerencial reduzem dano, qualificam o nexo e sustentam a defesa. No contencioso, o que salva não é a intenção; é o lastro documental da diligência.
Referências
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Forense, 2021.
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. São Paulo: Thomson Reuters Brasil, 2020.
MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor. São Paulo: RT, 2019.
CAVALIERI FILHO, Sérgio. Programa de Responsabilidade Civil. São Paulo: Atlas, 2023.
MORAES, Maria Celina Bodin de. Danos à pessoa humana: uma leitura civil-constitucional dos danos morais. Rio de Janeiro: Renovar, 2010.
- Matheus Martins é advogado, professor da Fundação Getúlio Vargas RJ e mestre em Direito (Unesa-RJ), com ênfase em Responsabilidade Civil e Direito Comparado e sócio do escritório Matos e Daixum Advogados. Atua em Direito Empresarial, contratos, compliance e governança, assessorando organizações na estruturação de políticas de integridade e gestão de riscos, incluindo proteção de dados em ambientes corporativos.