A LGPD foi criada para prever e regulamentar questões relacionadas ao tratamento de dados pessoais nos meios digitais, inclusive por pessoas físicas ou jurídicas, privadas ou públicas. A sua aplicação se dá em todos os setores da economia e do Direito, sendo aplicável sempre que houver algum tipo de coleta de dados de terceiros, como ocorre, por exemplo, nas relações trabalhistas e consumeristas.
A LGPD surge com a finalidade de proteger as liberdades e direitos fundamentais, trazer segurança jurídica aos atores envolvidos no mundo da coleta, armazenamento e uso de dados (digitais ou não), e para estabelecer regras de proteção de dados e critérios no tratamento desses dados pessoais.
Fundamentos da LGPD
I — O respeito à privacidade;
II — A autodeterminação informativa; (que nada mais é do que a ideia de que o indivíduo titular de dados pessoais deve ter controle, ou ao menos plena transparência, sobre a destinação dada às suas informações pessoais, bem como das metodologias utilizadas para tanto.)
III — A liberdade de expressão, de informação, de comunicação e de opinião;
IV -— A inviolabilidade da intimidade, da honra e da imagem;
V — O desenvolvimento econômico e tecnológico e a inovação;
VI — A livre iniciativa, a livre concorrência e a defesa do consumidor;
VII — Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Princípios da LGPD
O artigo 6º da lei aduz que, além da boa-fé, são princípios da LGPD:
I — Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II — Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III — Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV — Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V — Qualidade de dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI — Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII — Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII — Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX — Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X — Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A quem se aplica a LGPD?
A LGPD se aplica a toda pessoa natural ou jurídica, de direito público ou privado, visando garantir a proteção dos direitos fundamentais de privacidade, liberdade e livre desenvolvimento da personalidade da pessoa natural, e necessariamente precisa ser observada pela União, Estados, Distrito Federal e municípios, em relação às normas gerais.
A LGPDnão se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos; realizado para fins — exclusivamente — jornalísticos, artísticos ou acadêmicos.
A LGPD ainda não se aplica para fins exclusivos de: Segurança Pública; Defesa Nacional e segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto.
LGPD nas relações de trabalho
Ao contrário do que acontece no Regulamento Geral sobre a Proteção de Dados (GDPR, na silha em inglês), a Lei Geral de Proteção de Dados (LGPD) não traz de modo específico qualquer previsão quanto às relações de trabalho.
Já o regulamento europeu possui disposições específicas sobre o tratamento de dados nas relações entre o empregado e o empregador.
Por isso a aplicação da LGPD nas relações de trabalho demanda uma análise conjunta do que trata a legislação trabalhista e os elementos acrescidos pela LGPD relacionados à proteção de dados.
FASE PRÉ-CONTRATUAL
Existem alguns pontos que demandam atenção. A LGPD nas relações trabalhistas se aplica desde a fase pré-contratual, em que há o recebimento dos currículos dos candidatos a uma determinada guarda.
A fase pré-contratual é a fase do primeiro contato do empregado com o empregador e geralmente é realizada por terceiros (recrutador, departamento pessoal, empresas especializadas etc.).
Nessa fase há a disponibilização da vaga, análise do currículo, entrevistas, dinâmicas e posterior escolha do candidato selecionado.
Nessa fase é proibida a coleta de dados que possam gerar qualquer critério discriminatório entre os candidatos, como, por exemplo, solicitação de exames de gravidez, toxicológico, exames de sangue, atestado de antecedentes criminais e análise de crédito (débito).
Essa é a regra. Contudo, há exceções previstas em lei, como é o caso do exame toxicológico para o motorista profissional (artigo 168, § 6°, da CLT) e do atestado de antecedentes criminais que é obrigatório para quem trabalha como vigilante (artigos 12 e 16, VI, da Lei n. 7.102/1983 c/c art. 4°, I da Lei n. 10.826/2003).
Por outro lado, o exame de gravidez e a análise de crédito (débito) — mesmo para trabalho em instituições financeiras — são proibidos (artigo 1° da Lei n. 9.029/1995), sendo o segundo, inclusive, com base nos termos do Acórdão do TST prolatado nos autos do Processo n. 1109-68.2012.5.10.0020.
A empresa precisará informar claramente aos candidatos não selecionados a política de utilização dos dados que foram fornecidos e, principalmente, o que será feito com os dados e documentos daqueles que não foram selecionados.
A própria LGPD tem como princípio a não discriminação, o que reforça os entendimentos já solicitados no âmbito trabalhista, que proíbem a discriminação de candidatos devendo a recusa acontecer em decorrência de eventual incompatibilidade técnica para a função a ser desempenhada.
É interessante que a autorização para armazenamento dos dados exista, bem como a autorização para compartilhamento dos dados com a finalidade específica informada. Um bom exemplo é o compartilhamento desses dados entre agências de emprego, por outro lado, não poderia haver o compartilhamento das informações para uma agência de publicidade que busca contato com potenciais consumidores, já que, em uma situação como essa haveria o desvio de finalidade.
FASE CONTRATUAL
Nesta fase o empregado terá conhecimento da política de tratamento de dados da empresa e dará o seu consentimento (ou não) expresso quanto ao seu teor.
Na fase contratual o próprio contrato de trabalho passar a ser um documento composto por dados pessoais, o que amplia a responsabilidade quanto à guarda dessas informações por parte do empregador.
Os contratos devem conter cláusulas específicas relacionadas ao consentimento para o uso dos dados das informações dos colaboradores, quando o uso não estiver baseado no cumprimento de alguma obrigação legal.
Em outro ponto se fazem necessárias também, cláusulas que expressem a responsabilidade do colaborador quanto a guarda das informações que ele possa ter acesso em decorrência da atividade desempenhada dentro da instituição.
Sendo a LGPD uma legislação nova e que requer um forte trabalho educacional para que se torne efetiva, os colaboradores precisam ser treinados e capacitados para que possam saber quais são as suas responsabilidades diante das previsões trazidas pela lei e das normativas internas das empresas.
Como visto, o consentimento do funcionário deve ser expresso e as cláusulas que versarem sobre a política de tratamento de dados da empresa devem vir destacadas no documento, de forma a garantir a observância dos princípios da finalidade, transparência e segurança.
Há casos específicos em que a LGPD se aplicará na fase contratual, vejamos:
- Ficha de registro: na ficha de registro é comum que contenha dados pessoais e dados sensíveis, a exemplo da filiação a sindicato. Nesse aspecto a LGPD prevê expressamente a necessidade de tratamento desses dados com a limitação de acesso à ficha de registro do funcionário.
- Formalização de contratos e aditivos: destacam-se os contratos e aditivos, principalmente para quem já possuía o vínculo de emprego antes da entrada em vigor da LGPD. Para esses casos, será necessária a adequação do contrato de trabalho à LGPD.
- Realização de exames: a realização de exames periódicos encontra respaldo na legislação vigente. Assim, todos os funcionários celetistas são obrigados a realizar o exame médico periódico. Tais exames abrangem a avaliação clínica e envolvem anamnese ocupacional e exames físico e mental, sendo possível haver exames complementares de acordo com os termos específicos da NR-7. Contudo, não podem ser solicitados exames que possam expor a saúde do trabalhador a fim de causar-lhe discriminação, a exemplo dos exames de HIV, gravidez, câncer etc.
- Recebimento de atestados: embora não seja obrigatório o preenchimento da CID (Classificação Internacional de Doenças e Problemas Relacionados à Saúde) no atestado médico, caso haja identificação da doença e/ou o motivo do afastamento, pela LGPD, tais dados passam a ser dados sensíveis e, portanto, precisarão de política específica de guarda e acesso.
- Compartilhamento de dados com seguradoras, planos de saúde, entidades sindicais: pela LGPD o compartilhamento desses dados precisará de autorização expressa do titular, principalmente quando se tratar de dados de familiares e de terceiros. A exceção virá quando essas informações decorrerem de pedido judicial, de texto de lei ou para fins de dados de estatística do governo.
Algumas questões práticas do ambiente de trabalho:
- Dados biométricos: a LGPD classifica os dados biométricos como dados pessoais sensíveis. Os dados biométricos e genéticos são tratados pela LGPD como dados pessoais sensíveis pois podem ser utilizados para classificar grupos de indivíduos ou reconhecê-los individualmente. O reconhecimento biométrico facial é capaz de permitir a classificação do indivíduo em gênero ou etnia.
- Menor aprendiz: a formalização da contratação do menor aprendiz passará por mudança significativa. Isso acontecerá porque o §1º do artigo 14 diz que o “tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico, em que destaque, dado por pelo menos um dos pais ou responsável legal“. Essa mudança se dá, pois, a lei só previa a assistência do menor no momento da rescisão e, com a LGPD, a assistência deverá ser outorgada também na contratação.
- Vigilância de empregados (e-mails, redes sociais, dispositivos funcionais, dispositivos pessoais, geolocalização): a LGPD não proíbe o acesso a e-mails ou dispositivos funcionais. Contudo, a informação deverá ser clara, dispondo do propósito e finalidade da coleta, assim como deverá ter a ciência do funcionário quanto aos limites do acesso da empresa aos seus dados pessoais e o tratamento que será dado a esses dados.
- Monitoramento interno e externo do ambiente da empresa: a LGPD não proíbe o monitoramento interno e externo do funcionário, mas tal monitoramento deverá ser justificado e com o consentimento do funcionário, zelando pela transparência, finalidade e necessidade.
- Compartilhamento de dados pessoais de empregados entre grupo econômico e terceiros: caso o controlador precise comunicar ou compartilhar dados pessoais com terceiros, deve obter consentimento expresso do titular para esse fim, exceto em situações já previstas em lei que dispensam tal autorização. Tal previsão legal está no §5º do artigo 7º da LGPD e revela a necessidade de que as empresas sejam mais cautelosas ao compartilhar e receber dados de clientes como decorrência de serviços prestados a outras empresas, uma vez que sempre deverá haver uma expressa e específica autorização do titular dos dados para que haja o compartilhamento dessas informações.
- Teletrabalho e proteção de dados: sem dúvidas a finalidade precípua da LGPD é a proteção de dados do titular face àqueles que coletam esses dados. Quando tratamos de “teletrabalho”, o principal elemento para traçar as diretrizes da atuação da empresa no ambiente de trabalho do seu funcionário (residencial ou não) se dará pelo contrato de trabalho e as previsões acerca da aquisição, manutenção e fornecimento de equipamentos tecnológicos e da infraestrutura necessária para a prestação do trabalho. Tais medidas equiparam-se ao caso do uso de computador ou e-mail institucional no qual é permitido o acesso pelo empregador com o conhecimento do funcionário. Já em caso de uso de equipamentos pessoais, tal acesso não atende à finalidade da LGDP, em atenção aos princípios nela previstos, além do próprio artigo 5º da CF/88, que garante a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade.
RESPONSABILIZAÇÃO DO EMPREGADO
O treinamento é extremamente necessário já que nos casos de incidentes de segurança com os dados, a depender da situação, será necessária a apuração da conduta do colaborador para compreender se houve culpa ou dolo.
Sem a devida capacitação torna-se inviável a responsabilização do colaborador diante de uma conduta realizada e que possa ter ocasionado o vazamento ou a utilização inadequada de dados.
As falhas ocorridas podem gerar consequências contratuais para a empresa, como as multas previstas e até mesmo danos à reputação da marca. Por isso, também será necessário identificar nas operações de tratamento de dados que serão realizados quem são os operadores e controladores, justamente para que a responsabilização possa ser realizada de modo adequado.
FASE PÓS-CONTRATUAL
Quando da ocorrência de eventual desligamento do funcionário da empresa, seja por qual motivo for, também é necessária a observância dos preceitos da LGPD.
Isso se dá pelo fato de que a LGPD, expressamente, aduz que é necessária a informação de finalização do uso de dados, seja por determinação legal, seja por solicitação do titular do direito.
Ocorre que, quando falamos de relações trabalhistas, há obrigações de guarda de documentos que decorrem de imposição legal, e isso afasta a solicitação particular do titular do direito.
São situações que precisarão de análise caso a caso, como, por exemplo, o dever de guarda para fins de documentação probatória para ações trabalhistas. Como sabido, o prazo decadencial para propositura de ação trabalhista é de dois anos contados da data do desligamento (considerando a projeção do aviso prévio). Portanto, a empresa possui garantia legal para guardar documentos comprobatórios dentro do prazo prescricional do direito de ação do titular do direito.
No caso das relações com os empregados, existem vários documentos que precisam ser armazenados diante das obrigações legais delimitadas por diversos órgãos públicos e, há ainda, a necessidade de guarda para comprovação das informações relacionadas ao período em que o colaborador esteve vinculado a empresa.
É preciso então observar os prazos prescricionais de cada obrigação para elaboração da política de eliminação de dados que deve abarcar os dados dos colaboradores, sem que isso possa representar prejuízo posterior para instituição.
CONTRATAÇÃO: PRESTADOR DE SERVIÇOS X CLT
Com as delimitações trazidas pela LGPD quanto às responsabilidades do Controlador, uma discussão necessária é a escolha da modalidade de contratação.
É preciso analisar se o formato escolhido proporciona a possibilidade de fiscalização e privacidade dos dados a serem tratados em determinados setores.
Para que se compreenda a questão, basta um exemplo simples: se terei uma determinada função em minha empresa em que a pessoa, ou a empresa que irá exercer, terá acesso a todos os dados pessoais e sensíveis dos meus colaboradores e/ou clientes, qual modalidade de contratação irá proporcionar maior segurança ao empregador?
Em ambas as possibilidades surgem novos pontos de atenção que precisam ser ajustados no momento da contratação, seja via contrato regulamentado pelo Código Civil, ou por uma contratação regulamentada pela CLT.
Término do tratamento de dados
O artigo 15 da LGPD prevê que o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (controlador)
II – Fim do período de tratamento; (controlador ou lei, regimento)
III – Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do artigo 8º desta lei, resguardado o interesse público; (titular)
IV – Determinação da autoridade nacional, quando houver violação ao disposto nesta lei.
Considerações finais
A autoridade responsável pela fiscalização da LGPD será a ANPD – Autoridade Nacional de Proteção de Dados. Contudo, a fiscalização não está restrita à ANPD e poderá ser exercida por outras entidades fiscalizadoras, como os órgãos de proteção ao trabalhador (MPT, MPF, Auditor Fiscal etc.).
Estão entre as sanções administrativas para a prática de infrações à LGPD a aplicação de advertências, de multas simples ou diárias que podem chegar à quantia expressiva de R$ 50 milhões, e ainda publicização da infração e bloqueio e eliminação dos dados pessoais.
Como elencado nos próprios fundamentos da LGPD, esta tem como escopo a garantia das liberdades e direitos fundamentais da pessoa humana (já previstos no artigo 5º da CF/88), bem como o uso de dados pessoais (sensíveis ou não) com o propósito de trazer segurança jurídica tanto para quem fornece os dados (titular) quanto para aqueles que captam esses dados (controlador/operador).
A adequação à LGPD é de extrema urgência, posto que as relações de coleta e armazenamento de dados são praticamente diárias e estão, a partir de então, sujeitas às regulamentações previstas na LGPD.
Dentro do cenário das relações trabalhistas, como vimos, as mudanças também adquirem contornos específicos, principalmente durante a vigência do contrato de trabalho, com atenção especial aos contratos já vigentes antes da promulgação da LGPD.
A adequação à LGPD passará pela existência de boas práticas, treinamentos, normas internas e revisão de contratos e manuais a fim de garantir que os controladores busquem se adequar à lei visando minimizar ou mesmo eliminar os riscos de não observância aos preceitos da Lei Geral de Proteção de Dados.