A
LGPD foi criada para prever e regulamentar questões relacionadas ao tratamento
de dados pessoais nos meios digitais, inclusive por pessoas físicas ou
jurídicas, privadas ou públicas. A sua aplicação se dá em todos os setores da
economia e do Direito, sendo aplicável sempre que houver algum tipo de coleta
de dados de terceiros, como ocorre, por exemplo, nas relações trabalhistas e
consumeristas.
A LGPD surge com a finalidade
de proteger as liberdades e direitos fundamentais, trazer segurança jurídica
aos atores envolvidos no mundo da coleta, armazenamento e uso de dados
(digitais ou não), e para estabelecer regras de proteção de dados e critérios
no tratamento desses dados pessoais.
Fundamentos da LGPD
I — O respeito à privacidade;
II — A autodeterminação
informativa; (que nada mais é do que a ideia de que o indivíduo
titular de dados pessoais deve ter controle, ou ao menos plena transparência,
sobre a destinação dada às suas informações pessoais, bem como das
metodologias utilizadas para tanto.)
III — A liberdade de expressão,
de informação, de comunicação e de opinião;
IV -— A inviolabilidade da
intimidade, da honra e da imagem;
V — O desenvolvimento
econômico e tecnológico e a inovação;
VI — A livre iniciativa, a
livre concorrência e a defesa do consumidor;
VII — Os direitos humanos, o
livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania
pelas pessoas naturais.
Princípios da LGPD
O artigo 6º da lei aduz que, além da boa-fé, são princípios da LGPD:
I — Finalidade: realização do
tratamento para propósitos legítimos, específicos, explícitos e informados ao
titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades;
II — Adequação:
compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III — Necessidade: limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados;
IV — Livre acesso: garantia,
aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
V — Qualidade de dados:
garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento;
VI — Transparência: garantia,
aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
VII — Segurança:
utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII — Prevenção: adoção de
medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais;
IX — Não discriminação:
impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
X — Responsabilização e
prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes
e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
A quem se aplica a LGPD?
A LGPD se aplica a toda pessoa natural ou jurídica, de direito público ou privado, visando garantir a proteção dos direitos fundamentais de privacidade, liberdade e livre desenvolvimento da personalidade da pessoa natural, e necessariamente precisa ser observada pela União, Estados, Distrito Federal e municípios, em relação às normas gerais.
A LGPDnão se
aplica ao tratamento de dados pessoais realizado por pessoa natural para fins
exclusivamente particulares e não econômicos; realizado para fins —
exclusivamente — jornalísticos, artísticos ou acadêmicos.
A LGPD ainda não se aplica
para fins exclusivos de: Segurança Pública; Defesa Nacional e segurança
do Estado ou atividades de investigação e repressão de infrações penais; ou
provenientes de fora do território nacional e que não sejam objeto de
comunicação, uso compartilhado de dados com agentes de tratamento brasileiros
ou transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção de
dados pessoais adequado ao previsto.
LGPD nas relações de trabalho
Ao contrário do que acontece no Regulamento Geral sobre a Proteção de
Dados (GDPR, na silha em inglês), a Lei Geral de Proteção de Dados (LGPD) não
traz de modo específico qualquer previsão quanto às relações de trabalho.
Já o regulamento europeu possui disposições específicas sobre o
tratamento de dados nas relações entre o empregado e o empregador.
Por isso a aplicação da LGPD nas relações de trabalho demanda uma
análise conjunta do que trata a legislação trabalhista e os elementos
acrescidos pela LGPD relacionados à proteção de dados.
FASE PRÉ-CONTRATUAL
Existem
alguns pontos que demandam atenção. A LGPD nas relações trabalhistas se aplica
desde a fase pré-contratual, em que há o recebimento dos currículos dos
candidatos a uma determinada guarda.
A
fase pré-contratual é a fase do primeiro contato do empregado com o empregador
e geralmente é realizada por terceiros (recrutador, departamento pessoal,
empresas especializadas etc.).
Nessa
fase há a disponibilização da vaga, análise do currículo, entrevistas,
dinâmicas e posterior escolha do candidato selecionado.
Nessa
fase é proibida a coleta de dados
que possam gerar qualquer critério discriminatório entre os candidatos, como,
por exemplo, solicitação de exames de gravidez, toxicológico, exames de
sangue, atestado de antecedentes criminais e análise de crédito (débito).
Essa
é a regra. Contudo, há exceções previstas em lei, como é o caso do exame
toxicológico para o motorista profissional (artigo 168, § 6°, da
CLT) e do atestado de antecedentes criminais que é obrigatório para
quem trabalha como vigilante (artigos 12 e 16, VI, da Lei
n. 7.102/1983 c/c art. 4°, I da Lei n. 10.826/2003).
Por
outro lado, o exame de gravidez e a análise de crédito (débito) — mesmo para
trabalho em instituições financeiras — são proibidos (artigo 1°
da Lei
n. 9.029/1995), sendo o segundo, inclusive, com base nos
termos do Acórdão do TST prolatado nos autos do Processo n.
1109-68.2012.5.10.0020.
A
empresa precisará informar claramente aos candidatos não selecionados a
política de utilização dos dados que foram fornecidos e, principalmente, o que
será feito com os dados e documentos daqueles que não foram selecionados.
A
própria LGPD tem como princípio a não discriminação, o que reforça os
entendimentos já solicitados no âmbito trabalhista, que proíbem a
discriminação de candidatos devendo a recusa acontecer em decorrência de
eventual incompatibilidade técnica para a função a ser desempenhada.
É
interessante que a autorização para armazenamento dos dados exista, bem como a
autorização para compartilhamento dos dados com a finalidade específica
informada. Um bom exemplo é o compartilhamento desses dados entre agências de
emprego, por outro lado, não poderia haver o compartilhamento das informações
para uma agência de publicidade que busca contato com potenciais consumidores,
já que, em uma situação como essa haveria o desvio de finalidade.
FASE
CONTRATUAL
Nesta
fase o empregado terá conhecimento da política de tratamento de dados da
empresa e dará o seu consentimento (ou não) expresso quanto ao seu teor.
Na
fase contratual o próprio contrato de trabalho passar a ser um documento
composto por dados pessoais, o que amplia a responsabilidade quanto à guarda
dessas informações por parte do empregador.
Os
contratos devem conter cláusulas específicas relacionadas ao consentimento
para o uso dos dados das informações dos colaboradores, quando o uso não
estiver baseado no cumprimento de alguma obrigação legal.
Em
outro ponto se fazem necessárias também, cláusulas que expressem a
responsabilidade do colaborador quanto a guarda das informações que ele possa
ter acesso em decorrência da atividade desempenhada dentro da instituição.
Sendo
a LGPD uma legislação nova e que requer um forte trabalho educacional para que
se torne efetiva, os colaboradores precisam ser treinados e capacitados para
que possam saber quais são as suas responsabilidades diante das previsões
trazidas pela lei e das normativas internas das empresas.
Como visto, o consentimento
do funcionário deve ser expresso e as cláusulas que versarem sobre a política
de tratamento de dados da empresa devem vir destacadas no documento, de forma
a garantir a observância dos princípios da finalidade, transparência e
segurança.
Há casos específicos em que a
LGPD se aplicará na fase contratual, vejamos:
- Ficha de registro: na
ficha de registro é comum que contenha dados pessoais e dados sensíveis,
a exemplo da filiação a sindicato. Nesse aspecto a LGPD prevê expressamente a
necessidade de tratamento desses dados com a limitação de acesso à ficha de
registro do funcionário.
- Formalização de contratos e
aditivos: destacam-se os contratos e aditivos, principalmente para quem já
possuía o vínculo de emprego antes da entrada em vigor da
LGPD. Para esses casos, será necessária a adequação do contrato de trabalho à
LGPD.
- Realização de exames: a
realização de exames periódicos encontra respaldo na legislação vigente.
Assim, todos os funcionários celetistas são obrigados a realizar o exame
médico periódico. Tais exames abrangem a avaliação clínica e envolvem anamnese
ocupacional e exames físico e mental, sendo possível haver exames complementares
de acordo com os termos específicos da NR-7. Contudo, não podem ser
solicitados exames que possam expor a saúde do trabalhador a fim de causar-lhe
discriminação, a exemplo dos exames de HIV, gravidez, câncer etc.
- Recebimento de atestados: embora
não seja obrigatório o preenchimento da CID (Classificação Internacional
de Doenças e Problemas Relacionados à Saúde) no atestado médico, caso haja
identificação da doença e/ou o motivo do afastamento, pela LGPD, tais dados
passam a ser dados sensíveis e, portanto, precisarão de política específica de
guarda e acesso.
- Compartilhamento de dados com
seguradoras, planos de saúde, entidades sindicais: pela LGPD o
compartilhamento desses dados precisará de autorização expressa do titular,
principalmente quando se tratar de dados de familiares e de terceiros. A
exceção virá quando essas informações decorrerem de pedido judicial, de texto
de lei ou para fins de dados de estatística do governo.
Algumas questões práticas do ambiente de trabalho:
- Dados biométricos: a LGPD
classifica os dados biométricos como dados pessoais sensíveis. Os dados
biométricos e genéticos são tratados pela LGPD como dados pessoais
sensíveis pois podem ser utilizados para classificar grupos de indivíduos
ou reconhecê-los individualmente. O reconhecimento biométrico facial é
capaz de permitir a classificação do indivíduo em gênero ou etnia.
- Menor aprendiz: a
formalização da contratação do menor aprendiz passará por mudança
significativa. Isso acontecerá porque o §1º do artigo 14 diz que o “tratamento
de dados pessoais de crianças deverá ser realizado com o consentimento
específico, em que destaque, dado por pelo menos um dos pais ou responsável
legal“. Essa mudança se dá, pois, a lei só previa a assistência do
menor no momento da rescisão e, com a LGPD, a assistência deverá ser outorgada
também na contratação.
- Vigilância de empregados
(e-mails, redes sociais, dispositivos funcionais, dispositivos pessoais,
geolocalização): a LGPD não proíbe o acesso a e-mails ou dispositivos
funcionais. Contudo, a informação deverá ser clara, dispondo do propósito e
finalidade da coleta, assim como deverá ter a ciência do funcionário quanto
aos limites do acesso da empresa aos seus dados pessoais e o
tratamento que será dado a esses dados.
- Monitoramento interno e
externo do ambiente da empresa: a LGPD não proíbe o monitoramento interno e
externo do funcionário, mas tal monitoramento deverá ser justificado e com o
consentimento do funcionário, zelando pela transparência, finalidade e necessidade.
- Compartilhamento de dados
pessoais de empregados entre grupo econômico e terceiros: caso o
controlador precise comunicar ou compartilhar dados pessoais com terceiros,
deve obter consentimento expresso do titular para esse fim, exceto em
situações já previstas em lei que dispensam tal autorização. Tal previsão
legal está no §5º do artigo 7º da LGPD e revela a necessidade de que as
empresas sejam mais cautelosas ao compartilhar e receber dados de
clientes como decorrência de serviços prestados a outras empresas, uma vez que
sempre deverá haver uma expressa e específica autorização do titular dos dados
para que haja o compartilhamento dessas informações.
- Teletrabalho e proteção de
dados: sem dúvidas a finalidade precípua da LGPD é a proteção de dados do titular
face àqueles que coletam esses dados. Quando tratamos de
“teletrabalho”, o principal elemento para traçar as diretrizes da
atuação da empresa no ambiente de trabalho do seu funcionário (residencial ou
não) se dará pelo contrato de trabalho e as previsões acerca da
aquisição, manutenção e fornecimento de equipamentos tecnológicos e da
infraestrutura necessária para a prestação do trabalho. Tais medidas
equiparam-se ao caso do uso de computador ou e-mail institucional no qual é
permitido o acesso pelo empregador com o conhecimento do
funcionário. Já em caso de uso de equipamentos pessoais, tal
acesso não atende à finalidade da LGDP, em atenção aos princípios nela
previstos, além do próprio artigo 5º da CF/88, que garante a inviolabilidade
do direito à vida, à liberdade, à igualdade, à segurança e à propriedade.
RESPONSABILIZAÇÃO DO EMPREGADO
O
treinamento é extremamente necessário já que nos casos de incidentes de
segurança com os dados, a depender da situação, será necessária a apuração da conduta
do colaborador para compreender se houve culpa ou dolo.
Sem
a devida capacitação torna-se inviável a responsabilização do colaborador
diante de uma conduta realizada e que possa ter ocasionado o vazamento ou a
utilização inadequada de dados.
As falhas
ocorridas podem gerar consequências contratuais para a empresa, como as multas
previstas e até mesmo danos à reputação da marca. Por isso, também será
necessário identificar nas operações de tratamento de dados que serão
realizados quem são os operadores e controladores, justamente para que a
responsabilização possa ser realizada de modo adequado.
FASE
PÓS-CONTRATUAL
Quando da ocorrência de
eventual desligamento do funcionário da empresa, seja por qual motivo for,
também é necessária a observância dos preceitos da LGPD.
Isso se dá pelo fato de que a
LGPD, expressamente, aduz que é necessária a informação de finalização do uso
de dados, seja por determinação legal, seja por solicitação do titular do
direito.
Ocorre que, quando falamos de
relações trabalhistas, há obrigações de guarda de documentos que decorrem de
imposição legal, e isso afasta a solicitação particular do titular do direito.
São situações que precisarão
de análise caso a caso, como, por exemplo, o dever de guarda para fins de documentação
probatória para ações trabalhistas. Como sabido, o prazo decadencial para
propositura de ação trabalhista é de dois anos contados da data do
desligamento (considerando a projeção do aviso prévio). Portanto, a empresa
possui garantia legal para guardar documentos comprobatórios dentro do prazo
prescricional do direito de ação do titular do direito.
No
caso das relações com os empregados, existem vários documentos que precisam
ser armazenados diante das obrigações legais delimitadas por diversos órgãos
públicos e, há ainda, a necessidade de guarda para comprovação das informações
relacionadas ao período em que o colaborador esteve vinculado a empresa.
É
preciso então observar os prazos prescricionais de cada obrigação para
elaboração da política de eliminação de dados que deve abarcar os dados dos
colaboradores, sem que isso possa representar prejuízo posterior para
instituição.
CONTRATAÇÃO:
PRESTADOR DE SERVIÇOS X CLT
Com
as delimitações trazidas pela LGPD quanto às responsabilidades do Controlador,
uma discussão necessária é a escolha da modalidade de contratação.
É
preciso analisar se o formato escolhido proporciona a possibilidade de
fiscalização e privacidade dos dados a serem tratados em determinados setores.
Para
que se compreenda a questão, basta um exemplo simples: se terei uma
determinada função em minha empresa em que a pessoa, ou a empresa que irá
exercer, terá acesso a todos os dados pessoais e sensíveis dos meus
colaboradores e/ou clientes, qual modalidade de contratação irá proporcionar
maior segurança ao empregador?
Em
ambas as possibilidades surgem novos pontos de atenção que precisam ser
ajustados no momento da contratação, seja via contrato regulamentado pelo
Código Civil, ou por uma contratação regulamentada pela CLT.
Término do tratamento de dados
O artigo 15 da LGPD
prevê que o término do tratamento de dados pessoais ocorrerá nas seguintes
hipóteses:
I – Verificação de que a
finalidade foi alcançada ou de que os dados deixaram de ser necessários ou
pertinentes ao alcance da finalidade específica almejada; (controlador)
II – Fim do período de
tratamento; (controlador ou lei, regimento)
III – Comunicação do titular,
inclusive no exercício de seu direito de revogação do consentimento conforme
disposto no § 5º do artigo 8º desta lei, resguardado o interesse público;
(titular)
IV – Determinação da
autoridade nacional, quando houver violação ao disposto nesta lei.
Considerações finais
A autoridade responsável pela
fiscalização da LGPD será a ANPD – Autoridade Nacional de Proteção de
Dados. Contudo, a fiscalização não está restrita à ANPD e poderá ser exercida
por outras entidades fiscalizadoras, como os órgãos de proteção ao trabalhador
(MPT, MPF, Auditor Fiscal etc.).
Estão entre as sanções
administrativas para a prática de infrações à LGPD a aplicação de
advertências, de multas simples ou diárias que podem chegar à quantia
expressiva de R$ 50 milhões, e ainda publicização da infração e bloqueio e
eliminação dos dados pessoais.
Como elencado nos próprios
fundamentos da LGPD, esta tem como escopo a garantia das liberdades e direitos
fundamentais da pessoa humana (já previstos no artigo 5º da CF/88), bem como o
uso de dados pessoais (sensíveis ou não) com o propósito de trazer
segurança jurídica tanto para quem fornece os dados (titular) quanto para
aqueles que captam esses dados (controlador/operador).
A adequação à LGPD é de
extrema urgência, posto que as relações de coleta e armazenamento de dados são
praticamente diárias e estão, a partir de então, sujeitas às regulamentações
previstas na LGPD.
Dentro do cenário das
relações trabalhistas, como vimos, as mudanças também adquirem contornos
específicos, principalmente durante a vigência do contrato de trabalho, com
atenção especial aos contratos já vigentes antes da promulgação da LGPD.
A adequação à LGPD passará
pela existência de boas práticas, treinamentos, normas internas e revisão de
contratos e manuais a fim de garantir que os controladores busquem se adequar
à lei visando minimizar ou mesmo eliminar os riscos de não observância aos
preceitos da Lei Geral de Proteção de Dados.