Publicações

Impactos da LGPD nas relações trabalhistas

O “boom” na disponibilização online de dados pessoais propiciou o acúmulo e a monetização desses dados por muitas empresas – isto é, os dados dos consumidores são captados para a obtenção de informações visando ao desenvolvimento de estratégias e à tomada de decisões pelas empresas. Por isso, mais recentemente, o adequado tratamento desses dados pessoais passou a ser uma demanda mundial, resultando na promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) em solo brasileiro, cuja vigência se iniciou em agosto último.

A LGPD veio como uma forma de possibilitar que os brasileiros tenham mais controle sobre o que é feito com seus dados pessoais, objetivando construir um cenário de segurança jurídica, com padronização de normas e procedimentos. Portanto, a adequação das empresas à LGPD é fundamental no momento de fazer a portabilidade de dados, a fim de manter-se a credibilidade perante empregados, consumidores, clientes, fornecedores e perante os próprios órgãos públicos, que poderão solicitar cooperação nacional ou internacional nesse sentido.

Ademais, a adequação deve se iniciar o quanto antes, posto que as relações de coleta, armazenamento e transmissão de dados são praticamente diárias e estão, a partir da vigência da LGPD, sujeitas às regulamentações nela previstas.

Dentro do cenário trabalhista, como veremos, as mudanças também adquirem contornos específicos, tanto em momento pré-contratual (contratação de novos empregados), quanto durante a vigência do contrato de trabalho e após o seu término, devendo ter uma atenção especial aos contratos já vigentes antes da promulgação da LGPD para sua adequada compatibilização.

Dito isso, explicaremos abaixo algumas das principais medidas a serem tomadas pelos empregadores nesse momento inicial de vigência do diploma.

1) Conceitos utilizados pela LGPD

Antes de analisarmos as mudanças que a LGPD trouxe em relação ao tratamento de informações pessoais, vamos situar alguns conceitos definidos pela Lei acerca dos envolvidos nas relações por ela regulamentadas, que a própria norma tratou de conceituar em seu art. 5º:

• Titular: É a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (art. 5º, V);
• Controlador: É a “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais” (art. 5º, VI);
• Operador: É a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (art. 5º, VII);
• Tratamento: É “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X)

A título de exemplo, para fins de análise da influência da LGPD nas relações de trabalho, podemos entender que o Titular seria o empregado, candidato ao emprego ou ex-empregado, o Controlador seria a empresa empregadora e o Operador poderia ser entendido como o setor da empresa responsável pelo tratamento dos dados do Titular, o que geralmente ocorre pelo setor de Recursos Humanos.

2) Ações para o tratamento adequado dos dados pessoais nas relações de trabalho

A LGPD estabelece diretrizes de coleta, armazenamento, compartilhamento e gestão de dados pessoais por empresas e organizações com sede em território nacional, determinando que elas priorizem alguns princípios de segurança (previstos no art. 6º da Lei):

• Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
• Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
• Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
• Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
• Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
• Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
• Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Vê-se que o acúmulo imotivado e exagerado de dados foi desencorajado pela lei, o que sugere a restrição de procedimentos como, por exemplo, um cadastro obrigatório do empregado no site da empresa para realizar qualquer ação, ou o preenchimento de questionário com informações desnecessárias ao desenvolver da relação de trabalho. Na verdade, o art. 7º enumera e, desse modo, restringe as hipóteses em que a captação e o tratamento de dados serão permitidos. De interesse das empresas, enquanto empregadores, são essas:

• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Importante frisar que deve haver consentimento para a coleta dos dados em qualquer situação, exceto para os dados tornados manifestamente públicos pelo titular (disponibilização em redes sociais, por exemplo). Esse consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, sempre destacando a finalidade da captação, a duração do tratamento e os meios de contato com o controlador dos dados (e-mail corporativo, telefone etc.).

Além disso, o controlador que obteve o consentimento e que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim. Isso pode acontecer em grupos econômicos, quando diferentes empresas costumam compartilhar informações de todo tipo entre si.

Ainda, o titular dos dados pessoais tem direito a obter acesso a eles a qualquer momento, a corrigir dados incompletos, inexatos ou desatualizados e, claro, a revogar o consentimento anteriormente ofertado, mediante requerimento simples. Como o procedimento para tudo isso deve ser fácil e rápido, é recomendável que o empregador possibilite e cientifique o empregado que este poderá requerer os seguintes serviços junto ao setor responsável pelo tratamento de dados na empresa:

• Acesso do empregado aos seus dados no prazo de até 15 dias do requerimento;
• Correção de dados;
• Eliminação dos dados, ainda que fornecidos com consentimento prévio;
• Informações dos compartilhamentos de dados com terceiros;
• Informações sobre a possibilidade de não fornecer o consentimento e suas consequências.

Vale lembrar que são considerados sensíveis os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural. Então, o empregador deve redobrar o cuidado no tratamento desses dados na eventualidade de captá-los de pessoa física.

2.1) A LGPD na fase pré-contratual

Com vistas a contratar novos empregados, a empresa dá início a um processo seletivo, geralmente realizado por um setor específico, como RH ou departamento pessoal, a partir da disponibilização de vaga, análise de currículo, entrevistas etc.

Nessa fase é vedada a coleta de dados sensíveis do candidato, que possam gerar qualquer critério discriminatório entre os participantes, como a solicitação de exames de gravidez, toxicológico, de sangue, atestado de antecedentes criminais e análise de crédito.

Vale ressaltar, no entanto, que há exceções previstas em lei: o exame toxicológico pode ser requerido para o preenchimento de vaga de motorista profissional (art. 168, §6º, da CLT) e o atestado de antecedentes criminais é obrigatório para quem trabalha como vigilante (arts. 12 e 16, VI da Lei nº 7.102/1983 c/c art. 4º, I da Lei nº 9.029/1995).

É recomendado que seja requerido ao candidato que assine uma autorização em que se dá expresso consentimento para a utilização e arquivamento de seus dados, ressaltando que devem ser solicitados apenas os dados essenciais para a realização do processo seletivo. Deve constar no documento informações claras acerca da política de utilização dos dados que foram fornecidos e, principalmente, o que será feito com os dados e documentos daqueles que não forem selecionados, constando também a possibilidade de não concordar com os termos ali contidos e suas consequências.

2.2) A LGPD durante a vigência do contrato de trabalho

Como dito, o empregado deve dar expresso consentimento acerca da utilização e armazenamento de seus dados pessoais, devendo constar na autorização a ser assinada, de forma clara, a política de tratamento de dados da empresa, de forma a garantir a observância aos princípios que norteiam a LGPD.

Há, ainda, casos específicos em que a LGPD se aplicará durante a vigência do contrato de trabalho, vejamos:

• Ficha de Registro do Empregado: É comum que conste dados sensíveis, como a filiação a sindicato, de forma que a LGPD prevê a necessidade de limitação de acesso a esse tipo de documento para tratamento apenas pelo operador competente e autorizado;
• Realização de exames: A legislação vigente prevê a realização de exames periódicos, estando obrigados todos os funcionários celetistas (regidos pela CLT) e abrangem avaliação clínica, entrevistas (anamnese ocupacional) e exames físicos e mentais, sendo possível a necessidade de exames complementares de acordo com o que dispõe a NR-7. Recomenda-se que o empregador não solicite exames que possam expor a saúde do trabalhador a fim de lhe causar discriminação, como exame de HIV, gravidez, câncer etc;
• Recebimento de atestados médicos: Caso haja identificação de doença e/ou motivo do afastamento, esse documento passa a constar dado sensível que possui política rígida para tratamento e armazenamento, assim como a Ficha de Registro do Empregado;
• Compartilhamento de dados com seguradoras, planos de saúde e entidades sindicais: O compartilhamento desses dados demanda autorização expressa do titular, especialmente quando constar dados de familiares e terceiros. Tal autorização torna-se desnecessária em caso de prestação dessas informações por força de decisão judicial ou de Lei;
• Dados biométricos: A LGPD os classifica como dados sensíveis, pois podem ser utilizados para classificar grupos de indivíduos, devendo ter um tratamento rigoroso e controlado;
• Vigilância de empregados e monitoramento do ambiente da empresa: A LGPD não proíbe o monitoramento do ambiente da empresa, mas recomenda-se que isso seja previamente informado ao empregado, os dados disto obtidos sejam protegidos;
• Em relação à contratação de Menor Aprendiz: a LGPD prevê que o tratamento de dados pessoais de crianças deve ser realizado com consentimento especifico dado por pelo menos um dos pais ou responsável legal (art. 14, §1º), de forma que a formalização de um contrato nessa modalidade deverá preceder dessa autorização para o tratamento de dados do menor.

2.3) A LGPD após a extinção do contrato de trabalho

Na ocorrência de desligamento de empregado da empresa, seja por qual motivo for, também será necessária a observância da LGPD para o tratamento dos dados, com prévia ciência do empregado acerca das condutas a serem tomadas, a partir da disponibilização da política de tratamento de dados da empresa entregue na ocasião da assinatura de autorização em que consente com a utilização de seus dados pessoais.

Dessa forma, recomenda-se constar na política de tratamento de dados da empresa informações acerca do encerramento do uso dos dados do titular e suas possibilidades, seja por determinação legal ou pela solicitação do próprio titular.

No entanto, no âmbito das relações trabalhistas, há determinados dados que a empresa deve manter sob sua posse, por determinação legal (o que afasta qualquer manifestação de vontade do titular sobre a exclusão desses dados), como por exemplo, a guarda de documentos que comprovem a relação trabalhista e qualquer direito que possa ser pleiteado com a propositura de ação trabalhista durante o prazo prescricional, que se estende por dois anos da data do desligamento (considerando a projeção do aviso prévio, se houver).

Dessa forma, a empresa possui respaldo, por força de imposição legal, para manter em sua posse documentos comprobatórios de atendimento à legislação vigente.

3) Penalidades e cumprimento da LGPD pelo público em geral

O descumprimento das normas previstas na LGPD pode gerar tutelas judiciais específicas, como a suspensão de funcionamento de um site, ou mesmo penalidades previstas na própria lei, a serem aplicadas pela “autoridade nacional” após procedimento administrativo com direito de defesa:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
• Multa diária, observado o limite de R$ 50.000.000,00;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No caso, a “autoridade nacional” seria a Agência Nacional de Proteção de Dados – ANPD, uma autarquia reguladora que ainda não foi criada. Nada obstante, como dito acima, a LGPD pode ser aplicada pelo Judiciário em ações pontuais movidas por particulares ou pelo Ministério Público, em que será exigido o seu cumprimento.

Foi o que fez o MPDFT recentemente, quando moveu ação civil pública em face de uma empresa que comercializa informações pessoais como nomes, e-mails, endereços postais ou contatos para SMS das vítimas por meio de site na internet. Os dados são segmentados por profissões, como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros, e os “pacotes” são vendidos de R$ 42 a R$ 212,90. O MPDFT pede que a empresa se abstenha de divulgar, de forma paga ou não, os dados pessoais das vítimas, além do congelamento imediato do domínio do site em que é feita a comercialização.

Claro que se trata de situação extrema, já que a empresa tem como atividade justamente a comercialização desses dados. De todo modo, é recomendável que se observem as medidas aqui propostas, tendo em vista haver o risco de a LGPD “emplacar” entre os particulares e ser numerosa a quantidade de processos em que se pretende indenizações por dano moral, assim como ocorreu com o advento do Código de Defesa do Consumidor.

Gabriel Gomes Pimentel

Advogado. Especialista em direito empresarial pela FGV.

Matheus Marques Bussinguer