Introdução à proteção de dados
A proteção de dados pessoais é de importância central no mundo cada vez mais digitalizado de hoje. Com o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE e a Lei Federal de Proteção de Dados (BDSG), existem regras claras e obrigatórias sobre como empresas e corporações devem lidar com os dados de clientes, funcionários e parceiros de negócios. Especialmente em um conglomerado composto por várias empresas, é crucial que os processos de processamento de dados dentro do conglomerado sejam conformes à lei. O RGPD e o BDSG regulam como os dados pessoais podem ser coletados, armazenados e processados, a fim de proteger a privacidade e os direitos das pessoas afetadas. Portanto, empresas e corporações são obrigadas a cumprir essas regulamentações de forma consistente para manter a confiança dos afetados e evitar riscos legais.
Conglomerado e proteção de dados
Um conglomerado é uma união de várias empresas sob uma gestão unificada. A gestão do conglomerado é responsável por garantir que, dentro de todo o conglomerado, as diretrizes do Regulamento Geral sobre a Proteção de Dados (RGPD) e da Lei Federal de Proteção de Dados (BDSG) sejam seguidas. Isso afeta todos os níveis e empresas do conglomerado – desde a empresa-mãe até as subsidiárias. A coleta, armazenamento e processamento de dados pessoais devem ocorrer em todo o conglomerado de acordo com os requisitos legais. A gestão deve garantir que todas as empresas no conglomerado conheçam e implementem os requisitos legais de proteção de dados, a fim de garantir a segurança e proteção dos dados. Apenas assim se pode alcançar um nível de proteção de dados uniforme e seguro dentro de todo o conglomerado.
Responsável e encarregado de proteção de dados
Dentro de um conglomerado, o responsável é a pessoa ou entidade que decide sobre as finalidades e meios do processamento de dados pessoais. O encarregado de proteção de dados, por outro lado, é responsável por monitorar que as regulamentações de proteção de dados sejam obedecidas em todas as empresas do conglomerado. Ele aconselha a gestão do conglomerado e cada empresa em todas as questões de proteção de dados, treina funcionários e é o ponto de contato para os afetados quando se trata de seus direitos relacionados ao processamento de seus dados pessoais. Uma colaboração estreita entre o responsável e o encarregado de proteção de dados é indispensável para garantir a conformidade com as regulamentações de proteção de dados em todo o conglomerado e proteger efetivamente os direitos dos afetados.
BAG sobre transferência de dados pessoais dentro de um conglomerado – Az. 8 AZR 209/21
A proteção de dados também desempenha um papel central no direito trabalhista. Isso não se aplica apenas ao tratamento de dados pessoais de funcionários em relação a terceiros, mas também dentro de um conglomerado. O Tribunal Federal do Trabalho deixou claro, em uma decisão de 8 de maio de 2025, que mesmo na transferência de dados dentro do grupo de empresas, as diretrizes do Regulamento Geral sobre a Proteção de Dados (RGPD) devem ser observadas (Az. 8 AZR 209/21).
Autoridades têm um papel importante na aplicação do regulamento de proteção de dados (RGPD): Elas devem garantir a conformidade com as leis de proteção de dados, incluindo as leis estaduais de proteção de dados, e implementar medidas de coleta de dados e proteção de dados pessoais na internet. Em determinados casos, essas tarefas e medidas são reguladas por artigos correspondentes do regulamento para proteger os direitos dos afetados – como cidadãos, usuários e o público – e garantir transparência.
Desde a candidatura até a rescisão da relação de trabalho, numerosos dados dos funcionários são coletados e processados no local de trabalho. Os empregadores devem, em especial, respeitar as disposições do Regulamento Geral sobre a Proteção de Dados (RGPD) e a Lei Federal de Proteção de Dados (BDSG), segundo a firma de advocacia MTR Legal Rechtsanwälte, que, entre outros, aconselha no direito de proteção de dados.
RGPD deve ser observado na transferência interna de dados em conglomerados
As diretrizes do RGPD também devem ser observadas na transferência interna de dados, como mostra a decisão do Tribunal Federal do Trabalho de 8 de maio de 2025. O BAG esclareceu que um funcionário pode ter direito a indenização por danos devido a uma violação do RGPD.
No caso em questão, o empregador havia transferido dados pessoais de um funcionário dentro do conglomerado para uma sociedade-mãe para testar um novo software de gestão de pessoal baseado em nuvem. Com o software, um novo sistema de gestão de pessoal seria implementado em todo o conglomerado.
O teste preliminar do novo sistema de gestão de pessoal foi previamente regulamentado em um acordo de trabalho. De acordo com o acordo, nome, início da relação de trabalho, empresa, local de trabalho, assim como o número de telefone e e-mail comercial poderiam ser transmitidos. No entanto, o empregador também passou informações sobre o salário, data de nascimento, estado civil, número de seguridade social, ID de imposto e endereço particular do funcionário para a sociedade do conglomerado.
A aplicação do regulamento de proteção de dados e os artigos correspondentes não se aplicam apenas a empresas, mas também a autoridades, para proteger os direitos dos usuários, afetados e cidadãos. Medidas para coleta de dados e proteção de dados pessoais na internet, bem como a conformidade com as leis estaduais de proteção de dados, são uma tarefa importante em todos os casos e parte central para garantir transparência perante o público.
Dados transmitidos sem base legal suficiente
O autor da ação contestou isso. Ele argumentou que seus dados foram processados sem uma base legal suficiente, já que o uso de dados reais na fase de teste não era necessário e, portanto, violava os princípios de minimização de dados e limitação de finalidade conforme o Art. 5 RGPD. Além disso, o processamento não era coberto pelo acordo de trabalho existente. Ele reivindicou uma compensação por danos imateriais conforme o Art. 82(1) RGPD por violação do RGPD.
Depois que as instâncias anteriores rejeitaram sua ação, ela acabou no Tribunal Federal do Trabalho. O BAG inicialmente consultou o Tribunal de Justiça da União Europeia. O TJUE claramente decidiu em 19 de dezembro de 2024, que os regulamentos sobre processamento de dados em um acordo de trabalho devem cumprir as diretrizes do RGPD. O BAG seguiu essa jurisprudência e decidiu que o autor tinha direito a compensação por danos.
A aplicação dos artigos relevantes do regulamento de proteção de dados e das leis estaduais de proteção de dados é de importância central para as tarefas e o cumprimento das obrigações das autoridades, bem como para a proteção dos cidadãos e usuários afetados em todos os casos. Medidas para a coleta de dados e proteção de dados pessoais na internet também devem ser implementadas com vista à transparência perante o público.
Direito a compensação por danos imateriais
O empregador transferiu mais dados do que era permitido pelo acordo de trabalho para a sociedade-mãe do conglomerado. Isso não era necessário e constitui uma violação do RGPD, destacou o BAG. Ao passar os dados pessoais para a sociedade-mãe, o autor perdeu o controle sobre seus dados e, assim, sofreu um dano imaterial, afirmou ainda o BAG.
A decisão mostra que mesmo a transferência de dados dentro de um conglomerado deve sempre ser examinada em relação à legislação de proteção de dados. Os requisitos de proteção de dados do RGPD devem ser totalmente cumpridos. Isso inclui em especial os princípios de minimização de dados, limitação de finalidade e transparência.
A implementação de medidas adequadas e a aplicação rigorosa do regulamento de proteção de dados e dos artigos relevantes são essenciais para proteger os afetados, como cidadãos e usuários, e para o cumprimento das tarefas e obrigações das autoridades em todos os casos. Isso inclui coleta de dados na internet, conformidade com as leis estaduais de proteção de dados, bem como transparência em relação ao público.
Requisitos para processamento de dados pessoais na relação de trabalho
Em princípio, o processamento de dados pessoais na relação de trabalho só é permitido se houver uma base legal correspondente para isso. Isso é válido, por exemplo, se o processamento de dados for necessário para cumprir o contrato de trabalho. Além disso, o processamento de dados é permitido se o funcionário expressar seu consentimento. É importante que o consentimento seja dado voluntariamente, seja específico e possa ser revogado. O processamento de dados também pode ser permitido se o empregador puder comprovar um interesse legítimo na proteção da segurança da empresa e se nenhum interesse ou direito fundamental do empregado prevalecer.
A decisão do BAG ressalta a importância de uma gestão responsável dos dados dos funcionários e a necessidade de integrar aspectos de proteção de dados precocemente e de forma abrangente nos processos empresariais.
MTR Legal Rechtsanwälte aconselha em direito trabalhista e direito de proteção de dados.
Sinta-se à vontade para entrar em contato conosco!
A aplicação do regulamento de proteção de dados e dos artigos relevantes, bem como a implementação de medidas adequadas para coleta de dados na internet e a conformidade com as leis estaduais de proteção de dados, são de importância central para a proteção dos afetados, cidadãos e usuários, bem como para o cumprimento das tarefas e obrigações das autoridades em todos os casos e perante o público.
