Apresentação ¹

A Lei Geral de Proteção de Dados Pessoais (“LGPD” ou “Lei”) não afastou as relações trabalhistas de seu âmbito de aplicação. Diante do imenso fluxo de dados pessoais gerado a partir de um contrato de trabalho, este artigo tem por objetivo apresentar, de forma resumida, alguns aspectos da LGPD que o empregador deve considerar em uma relação laboral e em relações vizinhas à relação com o empregado.

O presente material não aborda todas as mudanças que precisam ser realizadas para que as instituições se adaptem à LGPD, e nem esgota as discussões que derivam de alguns pontos da legislação que carecem de maior definição ou implementação.

Entendendo a LGPD e seus principais aspectos.

A promulgação da LGPD em 2018², inseriu o Brasil no movimento mundial de respeito à privacidade e proteção de dados. Nossa legislação se inspirou no “GDPR” (sigla em inglês que significa Regulamento Geral de Proteção de Dados), como ficou conhecida a lei vigente na União Europeia. Sabemos que o direito à privacidade não é novidade, mas a LGPD concentra diretrizes específicas para a proteção de dados e consolida diversos pontos anteriormente tratados, sem objetividade, em leis esparsas.

Recentes vazamentos de informações pessoais causados por empresas de grande notoriedade comprovaram a importância da proteção de dados. Além disso, dados pessoais são ativos relevantes para qualquer empresa ou indivíduo, pois quanto maior o conhecimento de seu público, mais oportunidades para oferecer produtos e serviços e, consequentemente, lucrar com vendas convertidas e fidelização, por exemplo. Nesse contexto, busca-se com a LGPD a criação de um ambiente seguro, transparente e eficiente para o compartilhamento de dados pessoais, o que beneficia os titulares de dados e as empresas ou profissionais autônomos. Vale ressaltar que o prazo máximo para adequação à Lei é agosto de 2020³.

A relação laboral não “escapa” da LGPD, uma vez que a Lei se aplica a todas as pessoas físicas e jurídicas, dos setores público e privado, que tratem dados pessoais, por meio físico ou digital, no território nacional. Na prática, empresas, de qualquer ramo ou tamanho, ou indivíduos que coletem, tratem e armazenem dados, chamados “controladores”, devem se adequar à LGPD.

¹ Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.

² Lei n. 13.709, de 14 de agosto de 2018.

³ Encontra-se em tramitação na Câmara dos Deputados o Projeto de Lei 5762/19, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. Quando da edição deste material, em fevereiro/2020, o PL ainda não havia sido votado.

A própria norma estabelece as hipóteses em que o tratamento de dados é permitido. São as chamadas bases legais e, em linhas gerais, consistem em:

  1. Consentimento: autorização dada pelo titular, por escrito ou outro meio que demonstre a sua vontade em permitir o tratamento de seus dados. Esta permissão é específica e o titular de dados precisa ser alertado sobre o fim a que se destina;
  2. Cumprimento de obrigação legal ou regulatória do controlador: o controlador poderá tratar dados quando tiver de cumprir, por lei ou por normativos de órgãos reguladores, alguma obrigação;
  3. Execução de políticas públicas: base legal para o tratamento de dados por órgãos públicos. Tais políticas precisam estar previstas em leis, regulamentos, contratos ou convênios;
  4. Realização de estudos por órgãos de pesquisa: sempre que possível deve ser utilizada a anonimização dos dados pessoais;
  5. Execução de contrato: o titular precisa ser parte do contrato e pedir o seu cumprimento;
  6. Exercício de direitos em processo judicial, administrativo ou arbitral;
  7. Proteção da vida: do titular ou de terceiros para que seja prestado socorro;
  8. Tutela da saúde: para realização de procedimentos por profissionais de saúde ou autoridade sanitária;
  9. Proteção ao crédito: para mitigar o risco de inadimplência;
  10. Legítimo interesse do controlador: assim entendido o apoio à promoção das atividades do controlador. Não é uma base legal genérica, pois deve ser utilizada apenas para tratar aqueles dados pessoais estritamente necessários para a finalidade pretendida, bem como tem de ser realizada a validação de sua utilização.

Então, para definir a base legal, é preciso verificar a origem do dado, sua categoria (geral, sensível, de criança ou de adolescente) e a finalidade para a qual o dado será tratado.

Importante destacar que para a categoria “geral” de dados pessoais, a LGPD determina que se verifique a base legal mais adequada para a finalidade de tratamento, enquanto os dados sensíveis podem ser tratados mediante o consentimento do titular. Então, utilizar outra base legal para o tratamento de dados sensíveis é exceção.

Além de definir a base legal que legitima o tratamento dos dados pessoais, a Lei assegura diversos direitos aos titulares, os quais devem ser permanentemente observados pelos controladores. A seguir, listamos alguns desses direitos:

  • O titular escolhe como seus dados são tratados e autoriza, ou não, seu uso e compartilhamento;
  • Deve ser informado ao titular quais dados são coletados e a finalidade específica de cada coleta, uso e armazenamento;
  • Caso o titular solicite a interrupção da coleta de seus dados, a exclusão desses ou qualquer outra ação relacionada aos dados, a empresa deve respeitar e executar;
  • Deve ser assegurado ao titular o acesso aos dados, sua cópia ou transferência para outras empresas;
  • Toda comunicação com o titular deve ser transparente e utilizar linguagem simples, clara e objetiva para que qualquer pessoa compreenda a mensagem.

A LGPD ainda prevê princípios que precisam ser respeitados no tratamento de dados pessoais e gostaríamos de destacar 03 (três):

  1. Finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular;
  2. Adequação: o tratamento deve ser compatível com a finalidade que foi apresentada ao titular; e
  3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos.

O empregador, por possuir acesso a inúmeros dados pessoais de seus colaboradores, inclusive sensíveis, como cor e alguns relacionados a saúde, precisará distinguir os dados que não necessitam de consentimento, como aqueles necessários ao cumprimento de obrigação legal (ex. dados que alimentam o Cadastro Geral de Empregados e Desempregados (Caged)), e outros que precisam do consentimento específico. Em uma ficha-cadastral, por exemplo, a maior parte dos dados pessoais do colaborador servirá para o cumprimento de obrigação legal, sendo dispensado o consentimento. Ainda assim, em razão do princípio da finalidade, deve constar da ficha que a coleta dos dados “X”, “Y” e “Z” tem por finalidade o cumprimento de obrigações legais como as diversas comunicações devidas no e-Social. Ou seja, o colaborador precisa conhecer a finalidade do tratamento de seus dados pessoais.

Para conhecer os principais aspectos, termos e conceitos da LGPD de forma mais detalhada e se aprofundar na matéria, acompanhe nossas publicações no site renata@renatarodriguesadv.com.br. Além de artigos, temos e-books como “Lei Geral de Proteção de Dados – Em 5 minutos”, “Lei Geral de Proteção de Dados – Q&A” e “Lei Geral de Proteção de Dados – Como Adequar Seu Negócio?”.

Como as relações trabalhistas são afetadas? Quais os maiores desafios enfrentados pelo empregador?

Como dito anteriormente, são inúmeros os dados pessoais gerados na relação empregado-empregador, desde a (i) fase pré-contratual, qual seja, de seleção e recrutamento, passando pela (ii) fase de admissão e celebração do contrato de trabalho e (iii) a fase de execução desse contrato, até (iv) o seu término. Portanto, o empregador precisa se preocupar com os dados de candidatos, empregados e ex-empregados. Listamos abaixo, exemplificativamente, alguns dados pessoais coletados em cada uma das fases ora descritas:

  1. Recrutamento e Seleção: dados cadastrais, currículo e histórico escolar;
  2. Celebração do Contrato de Trabalho: nome dos genitores, nome dos filhos e filiação a sindicatos;
  3. Execução do Contrato de Trabalho: valor do salário, faltas e seus motivos e situações conjugais que podem ter reflexos em ações da empresa, como pagamento de pensão alimentícia;
  4. Extinção da Relação Laboral: motivo do desligamento e valor de verbas rescisórias.

Mesmo antes da LGPD, o empregador sempre teve responsabilidade em relação aos dados fornecidos pelo empregado, tendo o dever de usá-los com boa-fé e de acordo com finalidades compatíveis à relação de trabalho. Na hipótese de abuso ou desvio da finalidade, ele responde com base no Código Civil. A partir de 16/08/2020, aplicar-se-ão as penalidades previstas na nova Lei.

O uso de dados pessoais no processo seletivo.

A LGPD é expressa quanto à vedação do uso discriminatório de dados pessoais, o que acarreta ao empregador maior cautela durante o processo seletivo, uma vez que (a) o anúncio de emprego ou estágio não poderá conter critérios discriminatórios, como, por exemplo, uma vaga que tenha como requisito candidatos do sexo masculino, e (b) a exclusão de determinado candidato baseada em algum dado por ele fornecido (ex. “ter mais de 50 anos” ou “ser mãe”).

Outros 02 (dois) pontos relacionados ao uso de dados durante o processo de seleção de profissionais são relevantes:

  1. A coleta de informações pessoais depende de consentimento expresso, livre e inequívoco, sendo certo que a autorização deverá ser dada no primeiro contato com o empregador, após ter sido esclarecido ao candidato o fim a que se destina cada um dos dados solicitados e o período pelo qual o currículo ficará arquivado. Aplicando o princípio da necessidade ao caso, o empregador deve apenas solicitar os dados considerados essenciais para a escolha de um candidato, já que precisará apresentar a finalidade de cada informação requerida; e
  2. As informações só poderão ser conservadas se estiverem atualizadas, o que implica no dever de eliminar currículos defasados. Essa eliminação pode gerar dúvidas, pois o empregador não tem como saber o momento em que um currículo deixa de ser atual. Portanto, a opção pelo armazenamento de currículos em bancos de dados será válida se as rotinas de arquivamento forem revistas à luz do que a LGPD determina e se houver consentimento específico para tal.

O tratamento de dados pessoais durante a execução do contrato de trabalho.

Em relação aos empregados, explicamos no Item 2 acima que não será necessário obter o consentimento do empregado para o tratamento de dados pessoais imprescindíveis no cumprimento de obrigações legais, como dados para FGTS e INSS. Entretanto, o empregador precisa dar ciência ao empregado da finalidade de cada dado coletado.

Os dados classificados como “sensíveis” pela LGPD (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico) receberam um tratamento especial na LGPD e demandam maior cuidado pelos empregadores.

Acerca dos dados biométricos, os quais são coletados para registro eletrônico de ponto, existe um debate sobre a dispensa do consentimento do empregado, pois há quem defenda que referida coleta é necessária para o cumprimento da norma trabalhista de registro da jornada de trabalho. Há quem recomende, no entanto, por precaução, que seja obtido o consentimento do colaborador, por meio de documento simples logo que a admissão se efetiva. E caso a empresa (i) utilize os dados biométricos para outro fim que não o registro de ponto, ou (ii) conceda acesso às suas dependências por biometria a outras pessoas que não sejam empregadas, mister ressaltar que não há discussão e que o consentimento é obrigatório.

Cumpre ressaltar, ainda, a transferência e o compartilhamento de informações entre o empregador e terceiros, incluindo prestadores de serviço e órgãos públicos. A transmissão de dados a órgãos públicos, como, por exemplo, o encaminhamento da Declaração do Imposto sobre a Renda Retido na Fonte (DIRF); do Sistema Empresa de Recolhimento do FGTS e Informações à Previdência Social (Sefip) e a Relação Anual de Informações Sociais (Rais), não depende do consentimento, pois, como visto anteriormente, trata-se de cumprimento de obrigação legal.

Já a troca de dados para oferta de benefícios a funcionários, tais como seguro-saúde, seguros de vida, vale-refeição, e para empresas que façam a gestão da folha de pagamento da empresa, por exemplo, precisa de cuidado, pois, muitas vezes, engloba dados sensíveis. A recomendação, neste caso, é a revisão dos contratos celebrados com os empregados, para prever o consentimento e esclarecer a possibilidade de compartilhamento de dados e sua finalidade, bem como daqueles firmados com os prestadores de serviços, com o objetivo de incluir obrigações previstas na LGPD acerca de tratamento dos dados e definição da responsabilidade em caso de ocorrer algum incidente. Inclusive, sugerimos que, nas hipóteses de coleta, armazenamento e transferência de dados referentes à saúde do empregado e seus dependentes, o consentimento seja expresso para cada benefício, sendo formalmente concedido no documento que o empregado assina para concordar com a concessão do benefício e os descontos salariais dele decorrentes.

Vale lembrar, também, das informações endereçadas aos sindicatos, pois é necessário avaliar se há a obrigação de envio prevista em lei, norma coletiva ou prévia autorização do empregado para tal envio, sendo certo, neste último caso, que a autorização deve ser expressa e que haja certeza que o funcionário conhecia a finalidade para a qual estava concordando com a disponibilização de seus dados.

Outra relação que é afetada pela LGPD é a terceirização de atividades, pois o empregador precisa observar a Lei ao receber e utilizar os dados dos empregados de empresas terceirizadas. Com isso, além de requisitar documentos comprobatórios de cumprimento das obrigações trabalhistas e previdenciárias, os empregadores deverão solicitar a comprovação e que as empresas terceirizadas cumprem com a norma de proteção de dados. Portanto, o contrato de prestação de serviços deve ser revisto para prever que o empregador, que contrata os serviços, protege os dados pessoais dos terceirizados, bem como para estabelecer a obrigação de a empresa terceirizada comprovar a observância da LGPD. E essa revisão contratual se torna sensível, uma vez que a LGPD determina que a responsabilidade na proteção de dados pessoais é solidária e não subsidiária, como ocorre com créditos trabalhistas inadimplidos pela terceirizada. Sendo assim, tomadora e prestadora de serviços precisam estar alinhadas quanto à segurança dos dados e o contrato deve delimitar, sempre que possível, a responsabilidade de cada uma, dentro do que for permitido pela LGPD.

Ainda no escopo da execução do contrato de trabalho, surge mais um ponto de preocupação, pois determinados empregadores, como empresas multinacionais, que mantém dados de colaboradores em servidores fora do Brasil, precisarão avaliar a necessidade, ou não, do consentimento do titular para a transferência desses dados. E também assegurar que as empresas estrangeiras que prestam serviços de cloud computting, responsáveis por tais servidores, cumpram a LGPD.

O armazenamento de dados pessoais de ex-funcionários.

A manutenção e guarda de determinados dados pessoais pelos empregadores após o término do contrato de trabalho, por qualquer motivo, é legítima e prevista na LGPD e na legislação trabalhista, uma vez que tais informações podem ser necessárias para o cumprimento de obrigações legais ou regulatórias, além de serem imprescindíveis para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Portanto, a prescrição trabalhista precisa ser considerada quando do armazenamento de dados pessoais. Encerrado o contrato, o empregador pode recusar um pedido de eliminação feito pelo ex-funcionário sob o argumento de que poderá precisar de determinadas informações para cumprimento de obrigação ou exercício de direitos em processos.

Outros desafios.

Passamos, até aqui, pelos principais aspectos das relações de trabalho que são afetados pela LGPD e é possível ver a quantidade de rotinas de natureza trabalhista que são afetadas pela LGPD. Mas existem inúmeras discussões acontecendo atualmente, tais como (a) a competência da Justiça do Trabalho para julgar violações à LGPD; (b) a eventual flexibilização da LGPD no caso dos empregados denominados “autossuficientes” (parágrafo único do artigo 444 da CLT); (c) a fiscalização da LGPD, uma vez que não foi concluída, até a presente data, a implantação da Autoridade Nacional de Proteção de Dados (“ANPD”); e (d) a vedação ao compartilhamento de dados para fins econômicos. Como interpretar essa restrição quando a prestadora de serviços (terceirizada) transmite os dados sensíveis para o empregador-tomador?

Além dos desafios expostos acima, dependendo do estágio que o empregador se encontre no processo de adequação de suas rotinas à LGPD, o tempo pode ser um fator determinante para o sucesso da adaptação. Ainda é possível estabelecer um cronograma factível, mas, em razão do curto prazo até agosto/2020 e das complexidades a serem enfrentadas, a implantação das diretrizes da LGPD devem ser prioridade nas instituições, caso ainda não seja. Os empregadores não podem esquecer que a LGPD reforça a necessidade de registrar detalhadamente tudo o que é feito com os dados de um indivíduo, incluindo as medidas de segurança tomadas para protegê-los. Documentar e registrar todo o processo é imprescindível para mitigar a exposição a penalidades.

Outro aspecto relevante é o estabelecimento de uma cultura de proteção de dados. Todos os envolvidos precisam se conscientizar da importância de cumprir a LGPD, além de conhecer seu conteúdo e manter o compromisso com a privacidade e a proteção de informações pessoais. A realização de treinamentos, oficinas e palestras para professores, colaboradores e estudantes é uma boa prática e contribui para a disseminação dessa cultura. O encarregado, mais conhecido como Data Protection Officer (“DPO”), pode liderar essas iniciativas, pois é o responsável direto pelo assunto nas empresas.

Conclusão.

A LGPD foi criada com base em tendências mundiais e trouxe um novo capítulo para a proteção de dados no Brasil. Com o advento da Lei, será preciso repensar a maneira como empregadores lidam com dados pessoais e segurança da informação no âmbito das relações de trabalho. Não se trata de opção, mas sim o cumprimento de lei. Será preciso adotar um novo olhar para a natureza das informações e implementar medidas de segurança, técnicas e administrativas, que possibilitem ao empregador que demonstrar concretamente o uso ético e seguro de dados pessoais.

Um benefício econômico de estar em compliance com a legislação é que a Lei privilegia a empresa que constrói uma cultura de proteção. Ou seja, a existência de um programa de adequação e os esforços para cumprir com as obrigações legais serão considerados no momento da aplicação da penalidade pela ANPD. Então, na hipótese de ocorrer um incidente relacionado aos dados pessoais, a adoção comprovada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados é um mitigador da penalidade a ser aplicada. Ou seja, você poderá evitar prejuízos financeiros futuros e desgaste à sua imagem no mercado, o que, às vezes, é até mais danoso que as próprias multas e sanções previstas na Lei.

Apesar dos desafios existentes, o momento não é para desespero. É preciso enxergar a LGPD como uma oportunidade de crescimento. Aquele que encarar positivamente os desafios e implementar as diretrizes legais ganhará destaque em relação a seus competidores, será reconhecimento no mercado, tornando-se referência em seu segmento.

Por fim, cumpre lembrar que as empresas não precisam cuidar sozinhas do processo de adaptação à LGPD. Buscar consultoria especializada, como advogados e especialistas em tecnologia da informação, pode acelerar o cumprimento da Lei e contribuir para uma melhor adequação do negócio.

Baixar este artigo em PDF